#ParsedReport #CompletenessMedium
24-07-2025

Active exploitation of on-premise SharePoint Server vulnerabilities ToolShell

https://labs.withsecure.com/publications/toolshell.html

Report completeness: Medium

Threats:
Toolshell_vuln
Godzilla_webshell
Godzilla_loader
Remoteexec_tool
Asmloader_tool
Shellcodeloader
Netstat_tool
Badpotato_tool
Hrsword_tool
Process_injection_technique
W32/w3wplaunch.a!deepguard

Victims:
Microsoft sharepoint server users

Industry:
Government

Geo:
China

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2024-38094 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (-, 2016, 2019)

CVE-2020-0688 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036, T1055, T1055.001, T1068, T1070.004, T1071.001, T1090.001, T1136.001, have more...

IOCs:
IP: 7
File: 5
Command: 5
Path: 2
Hash: 2

Soft:
SharePoint Server, ASP.NET

Algorithms:
cbc, aes, sha256, base64

Functions:
getBasicsInfo, GetSystemInformation

Languages:
swift

Links:
https://github.com/BeichenDream/BadPotato
https://github.com/Ridter/cve-2020-0688/blob/master/ExchangeCmdPy.py#L338
have more...
https://github.com/Ridter/MSSQL\_CLR/blob/6f1df259cbd7f8790550861f6a72d6d2f4cbe241/Database/CLR\_module/Sharploader.cs#L190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 июля 2025 года Microsoft раскрыла факт активного использования уязвимостей CVE-2025-53770 и CVE-2025-53771 в серверах SharePoint, позволяющих удаленно выполнять код без проверки подлинности. Злоумышленники используют веб-оболочку Godzilla для постоянного доступа и инструмент "BadPotato" для повышения привилегий. Среди примечательных признаков - конкретные схемы атак и IP-адреса, связанные с операциями, что указывает на причастность китайскоязычных хакеров.
-----

19 июля 2025 года корпорация Майкрософт сообщила, что уязвимости, идентифицированные как CVE-2025-53770 и CVE-2025-53771, а также более ранние варианты CVE-2025-49704 и CVE-2025-49706, активно использовались на локальных серверах SharePoint, что получило название "ToolShell". Самые ранние попытки использовать эти уязвимости были зафиксированы 7 июля 2025 года. Успешная эксплуатация позволяет злоумышленникам выполнять удаленное выполнение кода (RCE) на уязвимых серверах SharePoint без проверки подлинности, предоставляя им доступ к конфиденциальному внутреннему контенту, конфигурациям и возможность развертывания веб-оболочек для дальнейших действий по эксплуатации, включая разведку сети и горизонтальное перемещение.

Анализ телеметрии выявил последовательную схему использования, характеризующуюся отправкой запроса POST на конечную точку "/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx" с информацией о ссылке, указывающей на внутреннюю страницу выхода из системы. Примечательно, что идентифицированные IP-адреса, служившие источниками этих атак, включали в себя 75.83.18.243 и 185.141.119.189. Среди инструментов, используемых злоумышленниками, - Godzilla webshell, который обладает функциями, предназначенными для загрузки файлов и базового поиска информации, а также загрузчиком, содержащим идентифицируемые жестко закодированные строки. Есть признаки того, что эта веб-оболочка обеспечивает постоянный доступ к скомпрометированным серверам путем кражи ASP.NET машинных ключей, несмотря на применение исправлений.

Хакер использовал "BadPotato" для повышения привилегий в рамках рабочего процесса IIS, впоследствии создав новую учетную запись локального администратора и установив сеанс протокола удаленного рабочего стола (RDP) на устройстве жертвы, что предполагало настройку обратного туннеля с использованием быстрого обратного прокси (FRP). Во время этого сеанса RDP был запущен двоичный файл с именем "sysdiag-all-x64-6.0.7.2-2025.07.21.1.exe", программа установки, связанная с решением Huorong security solution. Эта программа установки содержит инструменты, такие как HRSword, которые, как известно, ослабляют или обходят меры безопасности конечных точек. В предыдущих примерах аналогичного использования локальных серверов SharePoint также использовались решения Huorong для обеспечения безопасности.

Более того, методология использования, продемонстрированная хакерами, включала запуск "rundll32.exe" для внедрения шеллкода в процессы через рабочий процесс IIS, тем самым загружая конфигурацию FRP. Всестороннее использование уникальных методов и сигнатур вредоносного ПО позволяет предположить причастность хакеров, говорящих на китайском языке, хотя конкретная причина остается неясной.

В ответ на эти выводы WithSecure предприняла активные меры по привлечению различных заинтересованных сторон, включая государственные сертификаты и отраслевых партнеров. Они сообщили, что их решения для обеспечения безопасности уже блокировали попытки злоумышленников до начала кампании по использованию.

#ParsedReport #CompletenessLow
25-07-2025

ToolShell Aftermath: What Defenders Should Do After Patching CVE-2025-53770

https://www.nextron-systems.com/2025/07/25/toolshell-aftermath-what-defenders-should-do-after-patching-cve-2025-53770/

Report completeness: Low

Threats:
Toolshell_vuln
Thor

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1059.001, T1078, T1105, T1140, T1190, T1505.003, T1552.004

IOCs:
File: 3
Path: 5

Soft:
Event Tracing for Windows, SharePoint server, ASP.NET

Algorithms:
base64

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
have more...
https://github.com/SigmaHQ/sigma/pull/5537/files
https://github.com/Neo23x0/signature-base/blob/master/yara/expl\_sharepoint\_jul25.yar
https://github.com/Neo23x0/signature-base/blob/60a9c5269564f11ac05f8e828283a1716c89ed21/yara/gen\_webshells.yar#L5078

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53770 предоставляет доступ к серверам SharePoint без проверки подлинности RCE, что позволяет злоумышленникам развертывать веб-оболочки для кражи учетных данных и утечки ключей. Механизмы обнаружения, включая правила YARA и Sigma, имеют жизненно важное значение для выявления потенциальных угроз, что подчеркивает необходимость проведения оценки после обновления для обеспечения целостности системы.
-----

Цепочка уязвимостей ToolShell, идентифицированная как CVE-2025-53770, представляет значительный риск для локальных серверов SharePoint, поскольку позволяет выполнять удаленный код без проверки подлинности (RCE). Злоумышленники используют эту уязвимость для установки вредоносных веб-оболочек ASPX на скомпрометированные серверы, к которым впоследствии можно получить доступ без учетных данных для входа, что облегчает дальнейшую эксплуатацию, включая кражу криптографических ключей. Dropper использует PowerShell для записи декодированных полезных данных base64 на диск, при этом имена файлов веб-оболочки обычно включают такие варианты, как “spinstall0.aspx” и “ghostfile399.aspx”, которые можно найти в определенных путях к файлам в структуре каталогов SharePoint.

Обнаружение таких угроз и реагирование на них подчеркивают необходимость не только исправления уязвимостей, но и внедрения надежных механизмов обнаружения. Подход Nextron подчеркивает важность создания структурированной информации об обнаружении, включающей метаданные, теги семейств вредоносных программ и ссылки на хакеров. Такие инструменты, как THOR, сканер по запросу, поддерживают всесторонний анализ с помощью правил YARA и Sigma, позволяя обнаруживать различные артефакты, включая деревья текущих процессов и состояния реестра. Эта возможность позволяет выявлять потенциальные угрозы, которые могут быть упущены из виду при использовании других традиционных методов сканирования. Кроме того, Aurora, легкий агент для конечных точек в режиме реального времени, обеспечивает мгновенный контроль за действиями конечных точек, не полагаясь на уже существующие журналы, что обеспечивает сохранение критически важных возможностей обнаружения даже в условиях ограниченных возможностей.

Учитывая природу неавторизованного удаленного доступа, предоставляемого ToolShell, организациям, имеющим незащищенные серверы SharePoint, настоятельно рекомендуется опасаться возможного взлома. Ключевыми признаками успешного взлома являются наличие вредоносных веб-оболочек, сбор учетных данных и несанкционированный доступ к криптографическим ключам. Таким образом, даже при отсутствии предупреждений EDR или всестороннего ведения журнала, оценка компрометации после обновления становится необходимой для проверки целостности системы и обнаружения любых сохраняющихся угроз. Этот процесс проверки помогает организациям избежать использования "черных ходов", которые могут быть использованы, подчеркивая критическую важность интеграции таких оценок в общую стратегию реагирования на инциденты.

#ParsedReport #CompletenessMedium
25-07-2025

Reverse engineering a Lumma infection

https://labs.withsecure.com/publications/reverse-engineering-a-lumma-infection.html

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Process_injection_technique
Heavens_gate_technique
Lolbin_technique
Clickfix_technique

Geo:
Japan, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1057, T1059.003, T1071.001, T1082, T1105, T1119, T1140, T1204.002, have more...

IOCs:
File: 17
Coin: 2
Path: 1

Soft:
Telegram, Steam, DiscordCanary, DiscordPTB, curl

Algorithms:
base64, sha256, xor, chacha20

Functions:
Main, LookupPointer, eval, CallWindowsProcA

Win API:
VirtualProtect, CallWindowProcA, GetProcAddress, LoadLibraryA, LoadLibraryW, LoadLibrary, CreateProcessW, VirtualAlloc, GetThreadContext, ReadProcessMemory, have more...

Languages:
powershell, python, dotnet

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 11, table: 2, code: 32, dump: 62, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma - это вредоносная программа для кражи информации, связанная с начальными загрузчиками .NET /C#, использующая такие методы, как удаленное внедрение процессов и командно-контрольная связь для утечки данных. В нем используются сложные методы, в том числе хеширование по протоколу SHA-256 и расшифровка ChaCha20, которые часто распространяются через Telegram и привязаны к брокерам начального доступа. Согласно последним отчетам, в период с марта по май 2025 года по всему миру было взломано более 394 000 компьютеров с Windows.
-----

Lumma - это вредоносная программа для кражи информации, которая набрала популярность за последние пару лет и с которой часто сталкивается команда обнаружения и реагирования WithSecure. В недавнем анализе заражение Lumma было связано с первоначальным загрузчиком, разработанным на .NET/C#, и было рассмотрено в выборках в период с февраля по март 2025 года. Заражение обычно происходит по вектору атаки, когда хакеры извлекают учетные данные пользователей, возможно, с помощью фишинга или использования средств для кражи информации, таких как Lumma, часто при содействии брокеров начального доступа (IAB), которые помогают получить доступ к целевым системам.

Вредоносная программа, которая также имеет версию на C++, находится в разработке с конца 2022 года и распространяется через такие каналы, как Telegram, демонстрируя различные уровни обслуживания. Разработчики программы внедрили технологию упаковки, которая делает ее "полностью необнаруживаемой" (FUD), тем самым препятствуя прямому распространению среди жертв. Последние данные указывают на значительную волну заражений: Microsoft сообщила о более чем 394 000 взломанных компьютерах с Windows по всему миру в период с марта по май 2025 года.

Анализ показал, что Lumma использует сложное поведение, указывающее на наличие сложного вредоносного ПО. Он использует структуры IMAGE_SECTION_HEADER для идентификации и извлечения разделов, специально предназначенных для .КОДОВАЯ часть двоичного файла с помощью методов хэширования с использованием SHA-256. Во время выполнения вредоносная программа создает собственные копии, подключается к различным доменам управления (C2) и известна своей специфической связью с такими платформами, как Steam, что предполагает различные оперативные тактики для утечки данных.

Вредоносная программа использует удаленное внедрение процессов и манипулирует памятью с помощью таких функций, как VirtualAlloc и WriteProcessMemory, чтобы обеспечить успешное извлечение данных и скрытую работу. Он проверяет наличие бинарной упаковки и выполняет несколько предполетных проверок, включая языковые настройки, что указывает на его конструкцию, направленную на ограничение обнаружения и повышение эффективности в целевых средах.

Lumma способна расшифровывать адреса домена C2 с помощью ChaCha20 и инициировать HTTP POST-запросы, что является стандартным поведением для похитителей информации при извлечении данных. Эти действия подчеркивают его многогранные возможности, включая потенциальный доступ к данным через браузер и поиск пользовательских файлов, что свидетельствует о значительной сложности операций по сравнению с обычными вредоносными двоичными файлами.

По мере того как ситуация с кражей информации продолжает развиваться, Lumma демонстрирует адаптивную природу вредоносных программ, использующих обновленные тактики, методы и процедуры (TTP), которые используют хакеры, что делает непрерывный мониторинг и анализ первостепенными для защиты кибербезопасности. Организациям рекомендуется усилить меры безопасности, заблокировав определенные TLD, связанные с такими вредоносными программами, использовать 2FA для защиты конфиденциальных учетных записей и проводить обучение сотрудников борьбе с фишингом для снижения рисков, связанных с такими угрозами, как Lumma.

#ParsedReport #CompletenessLow
26-07-2025

Weekly Threat Infrastructure Investigation(Week29)

https://disconinja.hatenablog.com/entry/2025/07/26/114152

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Redguard_tool
Brc4_tool

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
25-07-2025

Watch out: Instagram users targeted in novel phishing campaign

https://www.malwarebytes.com/blog/news/2025/07/watch-out-instagram-users-targeted-in-novel-phishing-campaign

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Instagram users, Meta users, Instagram business accounts, Influential instagram accounts

ChatGPT TTPs:
do not use without manual check
T1566.001, T1583.001, T1586.002

IOCs:
Email: 6
Domain: 1

Soft:
Instagram, gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании, нацеленной на пользователей Instagram, используются ссылки mailto:, которые используют фильтры электронной почты, избегая вредоносных URL-адресов. Злоумышленники используют методы опечатывания для создания вводящих в заблуждение адресов электронной почты с целью сбора конфиденциальной информации без необходимости обслуживания фишинговых сайтов.
-----

Недавно была выявлена фишинговая кампания, нацеленная на пользователей Instagram, отличающаяся использованием ссылок mailto: вместо более распространенного метода перенаправления пользователей на мошеннические веб-сайты. Фишинговое электронное письмо имитирует законную переписку из Instagram, в нем утверждается о попытке несанкционированного входа в учетную запись пользователя и предлагается набор опций для подтверждения личности или сообщения о подозрительных действиях. Адреса, встроенные в ссылки mailto:, по-видимому, получены с помощью методов опечатывания, при которых злоумышленники регистрируют доменные имена, похожие на авторитетные, но слегка отличающиеся по написанию.

Тактика, используемая в этой кампании, использует распространенные механизмы фильтрации электронной почты, которые обычно помечают или помещают в карантин электронные письма, содержащие вредоносные URL-адреса. Используя mailto: links, злоумышленники могут обойти эти средства защиты, поскольку электронные письма не содержат ссылок на внешние сайты и, следовательно, избегают автоматической проверки репутации. Этот метод снижает операционную нагрузку злоумышленников, поскольку им не нужно создавать и поддерживать фишинговые сайты. Вместо этого они просто отслеживают ответы жертв, проверяя действительность соответствующих адресов электронной почты и подготавливая почву для дальнейших попыток фишинга, направленных на извлечение конфиденциальной информации.

В ходе предыдущих инцидентов были выявлены аналогичные стратегии фишинга, в частности, нацеленные на аккаунты с высокой стоимостью, такие как бизнес-профили Instagram. Сообщается, что в этой конкретной кампании использовались угрозы приостановки действия аккаунта из-за фиктивных нарушений в рекламе, чтобы заставить пользователей соблюдать требования. Скомпрометированные учетные записи не только обогащают злоумышленников, предоставляя им доступ к дальнейшим вредоносным действиям, но и могут быть использованы для получения финансовой выгоды путем требования выкупа за восстановление учетной записи.

Чтобы защититься от подобных мошенничеств, пользователям рекомендуется тщательно проверять источники сообщений электронной почты, особенно тех, которые требуют срочности или вызывают тревогу. Законные компании, такие как Instagram, не будут запрашивать конфиденциальную информацию по электронной почте. Пользователям следует воздержаться от ответа на подозрительные электронные письма, поскольку это подтверждает заинтересованность и может привести к дополнительной проверке. Выполнение поиска или использование таких инструментов, как Malwarebytes Scam Guard, может помочь проверить подлинность таких сообщений. Эта фишинговая кампания подчеркивает эволюционирующую природу хакеров, подчеркивая необходимость того, чтобы пользователи сохраняли бдительность в условиях все более изощренной тактики, применяемой киберпреступниками.

#ParsedReport #CompletenessLow
25-07-2025

Critical SonicWall SMA Vulnerability CVE-2025-40599: What You Need to Know

https://socradar.io/critical-sonicwall-sma-vulnerability-cve-2025-40599/

Report completeness: Low

Actors/Campaigns:
Unc6148

Threats:
Overstep
Abyss_locker
Vsociety

Victims:
Organizations relying on sonicwall sma 100 series devices

CVEs:
CVE-2024-38475 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (<2.4.60)

CVE-2021-20038 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)

CVE-2025-40599 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1055, T1059, T1078, T1105, T1136, T1547.006

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Серия SMA 100 от SonicWall содержит критическую уязвимость (CVE-2025-40599, CVSS 9.1), позволяющую осуществлять RCE через ошибку загрузки аутентифицированных файлов. хакерская группа UNC6148 использует это с помощью бэкдора OVERSTEP, используя украденные учетные данные для постоянного доступа. Организациям необходимо обновить прошивку до версии 10.2.2.1-90sv или более поздней, чтобы снизить риски.
-----

Компания SonicWall выявила критическую уязвимость в своих устройствах удаленного доступа серии SMA 100, обозначенную как CVE-2025-40599, которая имеет оценку CVSS 9,1. Эта уязвимость особенно опасна для организаций, которые используют эти устройства для обеспечения безопасной связи. Проблема возникает из-за уязвимости при загрузке произвольных файлов с проверкой подлинности, присутствующей в веб-интерфейсе управления устройствами, которая особенно затрагивает такие модели, как SMA 210, 410 и 500v. Несмотря на то, что для эксплуатации требуются учетные данные администратора, успешные атаки могут привести к полному удаленному выполнению кода (RCE), что делает возможным несанкционированное выполнение вредоносного кода и потенциальную полную компрометацию устройства.

Злоумышленник с правами администратора может загружать произвольные файлы, тем самым открывая систему для дальнейшего использования. Несмотря на то, что SonicWall не подтвердил текущее активное использование этой уязвимости, растет обеспокоенность, связанная с появляющимися угрозами. Сообщается, что хакерская группа, известная как UNC6148, использует сложный вариант вредоносного ПО под названием OVERSTEP для защиты устройств SMA 100. Эта группа использует украденные учетные данные и может использовать уязвимости нулевого дня для получения доступа. В некоторых инцидентах они устанавливали сеансы VPN, используя эти учетные данные, для запуска обратных оболочек и развертывания OVERSTEP - бэкдора с возможностями руткита в пользовательском режиме, который обеспечивает постоянный и скрытый доступ к скомпрометированным устройствам.

Исследования показывают, что OVERSTEP - это эволюционировавшая форма ранее использовавшихся инструментов в кампаниях по вымогательству, которая связывает его с вредоносным ПО Abyss, связанным с VSOCIETY. Существенной проблемой, связанной с работой UNC6148, является сохранение доступа к устройствам за счет повторного использования исходных данных с одноразовым паролем (OTP) и учетных данных администратора, что указывает на то, что они способны поддерживать долгосрочный доступ даже после внедрения обновлений для системы безопасности. GTIG предполагает, что многие учетные данные могли быть скомпрометированы в ходе предыдущих атак, в ходе которых использовались более старые уязвимости, включая CVE-2021-20038 и CVE-2024-38475.

Для снижения рисков, связанных с CVE-2025-40599, организациям необходимо обновить свои устройства SMA 100 до версии встроенного ПО 10.2.2.1-90sv или более поздней, поскольку это единственная версия, которая эффективно устраняет уязвимость. Организациям следует сохранять бдительность в отношении своей системы безопасности, обеспечивая проактивное управление своими объектами атаки для защиты от потенциальных угроз.

#ParsedReport #CompletenessLow
25-07-2025

Steam games abused to deliver malware once again

https://www.malwarebytes.com/blog/news/2025/07/steam-games-abused-to-deliver-malware-once-again

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal)

Threats:
Fickle_stealer
Hijackloader
Vidar_stealer
Danabot
Redline_stealer

Victims:
Steam users, Gamers

ChatGPT TTPs:
do not use without manual check
T1005, T1059.001, T1105, T1195.002, T1204.002, T1547, T1548.002, T1555, T1566.002

IOCs:
Domain: 3
Hash: 4

Soft:
Steam

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер EncryptHub, также известный как Larva-208, использовал Steam для распространения вредоносного ПО для кражи информации через игру Chemia, используя троянский загрузчик для развертывания Fickle Stealer, Vidar и HijackLoader, которые нацелены на конфиденциальную информацию.
-----

Киберпреступник, известный как EncryptHub, также известный как Larva-208, использовал платформу онлайн-игр Steam для распространения вредоносного ПО, похищающего информацию. Метод заключался во внедрении вредоносных файлов в файлы игры Chemia, приключенческой игры на выживание, которая в настоящее время доступна в раннем доступе в Steam. С 22 июля 2025 года EncryptHub внедрил троянский загрузчик в Chemia, который работает параллельно с законным игровым приложением. Этот загрузчик сохраняет работоспособность в зараженных системах и впоследствии распространяет различные типы вредоносных программ, в частности Fickle Stealer, HijackLoader и Vidar.

Fickle Stealer - это новая программа для кражи информации, использующая скрипты PowerShell, способные обходить функции контроля учетных записей пользователей (UAC). Эта вредоносная программа может извлекать конфиденциальные файлы, системные данные, данные браузера и информацию, связанную с криптовалютными кошельками. Vidar, еще одно вредоносное ПО в цепочке распространения, работает как платформа "Вредоносное ПО как услуга", используя общедоступные сети, включая социальные сети и игровые платформы, такие как Steam, для управления своими операциями. HijackLoader служит загрузчиком для дополнительных вредоносных программ, облегчая установку других угроз, таких как Danabot или RedLine stealer, на взломанные компьютеры.

Повсеместная деятельность злоумышленников создает значительные риски, которые могут включать финансовые потери и кражу личных данных. Этот инцидент иллюстрирует более широкую тенденцию, когда киберпреступники нацеливаются на игровые платформы с обширной базой пользователей. Сообщалось о недавних случаях подобной эксплуатации, например, о распространении вредоносного ПО через видеоигру sniper в Steam, где вредоносный контент был связан внешними ссылками, а не непосредственно с файлами игры. Кроме того, было обнаружено, что другая игра, Pirate Fi, также распространяла вредоносное ПО в Steam.

Учитывая значительную вовлеченность пользователей Steam — более 100 миллионов активных пользователей в месяц — взломанные игры представляют собой привлекательную возможность для киберпреступников получить доступ к ценным цифровым активам и личной информации. Чтобы снизить риски, игрокам рекомендуется провести комплексную проверку своих систем на наличие вредоносных программ и прислушаться к предупреждениям о потенциально вредоносных веб-сайтах, связанных с загрузкой игр.