#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Koske нацелена на системы Linux с использованием технологий, управляемых искусственным интеллектом, с использованием модульной полезной нагрузки и обходных руткитов для криптомайнинга. Он использует неправильно сконфигурированные серверы, развертывает вредоносные файлы формата JPEG, изменяет системные конфигурации для обеспечения постоянной связи C2 и использует тактику уклонения от обнаружения, что свидетельствует об усовершенствовании вредоносного ПО.
-----

Кампания Koske malware выявляет сложную угрозу, нацеленную на системы Linux, обладающую характеристиками, которые предполагают разработку на основе искусственного интеллекта. Это вредоносное ПО использует модульную полезную нагрузку, обходные руткиты и использует для доставки файлы изображений, в основном предназначенные для операций криптодобычи. Злоумышленники обычно используют неправильно сконфигурированные серверы, такие как экземпляры JupyterLab, что позволяет им устанавливать бэкдоры и загружать изображения двойного назначения в формате JPEG, содержащие вредоносную полезную нагрузку. В этих изображениях используются технологии использования многоязычных файлов, что позволяет вредоносным компонентам избегать традиционных методов обнаружения, скрываясь в кажущихся безобидными данных изображения.

После загрузки полезной нагрузки Koske выполняет небольшие фрагменты вредоносного кода непосредственно в памяти. Одна полезная нагрузка компилирует общий объектный файл, функционирующий как руткит, в то время как другая, сценарий оболочки, сохраняет постоянство и работает скрытно. В Koske реализовано несколько продвинутых механизмов сохранения, таких как изменение конфигураций пользовательской оболочки и добавление пользовательских служб systemd, которые обеспечивают повторное выполнение и непрерывную связь по системе command-and-control (C2) даже после перезагрузки системы.

Примечательны сетевые манипуляции вредоносного ПО, которые включают сброс переменных прокси-сервера среды, сброс правил iptables и изменение настроек DNS для маршрутизации через Cloudflare и Google DNS с одновременной блокировкой этих конфигураций для предотвращения изменений. Эти действия способствуют необнаружению связи C2, демонстрируя стратегический обход защиты на уровне DNS.

Кроме того, модуль подключения Koske выполняет сложные проверки для обеспечения доступа к серверам C2, используя методы диагностики и тактику перебора прокси-серверов для выявления работающих прокси-серверов. Вредоносная программа поддерживает майнинг 18 различных криптовалют, динамически корректируя свою работу в зависимости от вычислительных возможностей хоста во время атаки.

Код Коске является примером модульности и содержит подробные структурированные комментарии, которые затрудняют поиск авторства. Возможно, дизайн был специально разработан таким образом, чтобы он выглядел универсальным, с использованием лингвистических и синтаксических искажений, которые маскируют авторство. Эта эволюция означает потенциальный сдвиг в киберпространстве, где противники используют искусственный интеллект не только в тактике действий, но и в генерации кода, что приводит к появлению вредоносного ПО, которое разумно адаптирует свое поведение.

Это свидетельствует о растущей гонке вооружений в области кибербезопасности, когда организации должны усиливать свою защиту от таких легко адаптируемых и неуловимых угроз. Вредоносная программа Koske служит важным предупреждением для будущей динамики кибербезопасности, подчеркивая важность контекстно-зависимых и поведенческих механизмов безопасности для защиты от все более изощренных атак на среды Linux.

#ParsedReport #CompletenessMedium
27-07-2025

ANDROID MALWARE POSING AS INDIAN BANK APPS

https://www.cyfirma.com/research/android-malware-posing-as-indian-bank-apps/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Smishing_technique
Seo_poisoning_technique
Supply_chain_technique

Victims:
Android users, Indian banking customers

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 1
Hash: 2

Soft:
ANDROID, WhatsApp, Google Play

Algorithms:
sha256, exhibit

Win API:
sendMessage

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа для Android имитирует индийские банковские приложения для кражи учетных данных и несанкционированных транзакций, используя модульную конструкцию для автоматической установки и злоупотребления разрешениями, чтобы избежать обнаружения. Он использует Firebase для операций C2, создает реалистичные фишинговые страницы и использует разрешения для мониторинга SMS и ведения финансового надзора, что подчеркивает необходимость повышения безопасности в мобильном банкинге.
-----

В отчете рассматривается сложная вредоносная программа для Android, которая имитирует законные банковские приложения в Индии для кражи учетных данных, финансового надзора и несанкционированных транзакций. Эта вредоносная программа использует модульную структуру, включающую в себя дроппер и основную полезную нагрузку, используя тактику обмана, такую как скрытая установка и злоупотребление правами доступа, чтобы обойти обнаружение и сохранить постоянство. Он использует Firebase для командно-контрольных операций (C2) и создает фишинговые страницы, которые очень напоминают реальные банковские интерфейсы, чтобы обмануть пользователей.

Модульная конструкция вредоносного ПО включает в себя специальные классы, отвечающие за различные вредоносные функции, такие как сбор учетных данных пользователя и данных банковской карты, обеспечение сохраняемости с помощью возможностей перезагрузки и перехват конфиденциальных SMS-данных. Основные права доступа к Android, которыми злоупотребляет вредоносная программа, включают "ACCESS_NETWORK_STATE", который позволяет ей отслеживать сетевое подключение и улучшать время фильтрации данных; "REQUEST_INSTALL_PACKAGES", позволяющий автоматически устанавливать дополнительные полезные приложения без согласия пользователя; и "QUERY_ALL_PACKAGES", который облегчает поиск, идентифицируя установленные приложения и адаптируя атаки. Кроме того, важно использовать механизм автоматической установки; он побуждает пользователя устанавливать вредоносные APK-файлы без его ведома после первоначального заражения, используя средства, которые обходят стандартные запросы на установку.

Основная полезная нагрузка также использует такие разрешения, как "SEND_SMS" и "RECEIVE_BOOT_COMPLETED", что позволяет ей отправлять данные извне и обеспечивать их перезапуск после перезагрузки устройства. Более того, он скрывает свое присутствие, изменяя категорию активности, поэтому не отображается в списках приложений пользователя, тем самым оставаясь незамеченным в фоновом режиме. Фишинговая страница, встроенная в вредоносную программу, обеспечивает проверку ввода данных пользователем аналогично настоящим банковским приложениям, гарантируя, что она фиксирует точную информацию, такую как MPIN-код и данные дебетовой карты.

Расширенные функциональные возможности также включают мониторинг входящих SMS-сообщений для выявления OTP-адресатов и использование Firebase Cloud Messaging для скрытных удаленных команд. Вредоносная программа также использует методы переадресации вызовов на номера, контролируемые злоумышленниками, что демонстрирует широкое использование услуг телефонии Android.

В отчете подчеркивается растущая тенденция к мошенничеству в сфере мобильного банкинга, о чем свидетельствует активное распространение этого конкретного APK-приложения, которое использует социальную инженерию и технические уязвимости для улучшения методов распространения. Подчеркивается необходимость принятия надежных мер безопасности в финансовых приложениях, учитывая продвинутый характер и оперативное воздействие этого вредоносного ПО. Этот ландшафт угроз характеризуется способностью злоумышленников использовать различные средства доставки, включая поддельные веб-сайты и троянские утилиты, что усложняет задачу обеспечения безопасности пользователей.

#ParsedReport #CompletenessHigh
27-07-2025

RAVEN STEALER UNMASKED: Telegram-Based Data Exfiltration.

https://www.cyfirma.com/research/raven-stealer-unmasked-telegram-based-data-exfiltration/

Report completeness: High

Actors/Campaigns:
Zerotrace

Threats:
Raven_stealer
Dll_injection_technique
Credential_harvesting_technique
Zerotrace_tool
Octalyn
Process_hollowing_technique

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 7
Hash: 5

Soft:
Chromium, Telegram, Chrome, curl, Google Chrome, Microsoft Edge

Algorithms:
sha256, zip, chacha20

Win API:
Process32NextW, GetCurrentProcessId, CreateProcessW, ShowWindow, FindResourceW, LoadResource, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory

Languages:
python, powershell, delphi

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raven Stealer - это продвинутая модульная вредоносная программа для кражи информации, которая нацелена на браузеры на базе Chromium и позволяет извлекать конфиденциальные данные с высокой степенью скрытности. Она использует методы внедрения в память и извлекает украденные данные через Telegram API. Связанная с командой ZeroTrace, она отражает растущую тенденцию к появлению легко развертываемых угроз, которые повышают эффективность операций по краже учетных данных.
-----

Raven Stealer - это вредоносная программа для кражи информации, созданная с использованием Delphi и C++. Она нацелена на браузеры на базе Chromium, такие как Chrome и Edge, для извлечения паролей, файлов cookie и платежных реквизитов. Вредоносная программа имеет модульную архитектуру с редактором ресурсов для встраивания деталей конфигурации, таких как токены Telegram-бота. Двоичные файлы упакованы с расширением UPX, что делает их меньше по размеру и менее заметными. Программа выполняется в скрытом состоянии, чтобы избежать обнаружения пользователем. Распространение происходит через репозитории GitHub и Telegram-канал ZeroTrace. Raven Stealer использует методы обработки данных в памяти, такие как прямой системный вызов, для обхода таких средств защиты, как шифрование, связанное с приложениями в Chromium. Он перечисляет учетные данные из браузеров, игровых платформ и криптовалютных кошельков, упорядочивая украденные данные в каталоге AppData пользователя. Утечка данных осуществляется с помощью Telegram API. Вредоносное ПО разработано командой ZeroTrace, которая предлагает множество вариантов, включая Octalyn Stealer. Эта тенденция свидетельствует о росте числа модульных, легко развертываемых средств для кражи информации, которые снижают барьер для новых хакеров.

#ParsedReport #CompletenessLow
27-07-2025

ToolShell: An all-you-can-eat buffet for threat actors

https://www.welivesecurity.com/en/eset-research/toolshell-an-all-you-can-eat-buffet-for-threat-actors/

Report completeness: Low

Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)

Threats:
Toolshell_vuln

Victims:
Governments, Telecommunications companies, International organizations, High-value government organizations

Industry:
Telco, Government

Geo:
Germany, Ukraine, Vietnam, China, Italy

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


TTPs:
Tactics: 4
Technics: 4

IOCs:
File: 7
IP: 19

Soft:
SharePoint Server, Microsoft SharePoint, Outlook, SharePoint Server ASP.NET, icrosoft SharePoint se

Links:
https://github.com/eset/malware-ioc/tree/master/toolshell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET выявило критические уязвимости нулевого дня в Microsoft SharePoint Server, эксплуатируемые с 19 июля 2025 года, позволяющие злоумышленникам проникать в системы и красть информацию. Уязвимости (CVE-2025-53770 и CVE-2025-53771) затрагивают локальные версии SharePoint и облегчают атаки в обход MFA/SSO, развертывая веб-оболочки, такие как spinstall0.aspx. Ландшафт угроз включает в себя множество хакеров, в частности группу LuckyMouse, что вызывает опасения по поводу продолжающейся эксплуатации.
-----

Компания ESET Research выявила критические уязвимости нулевого дня в Microsoft SharePoint Server, в совокупности именуемые ToolShell, которые, как было подтверждено корпорацией Майкрософт, активно использовались с 19 июля 2025 года. Уязвимости обозначены как CVE-2025-53770, уязвимость для удаленного выполнения кода, и CVE-2025-53771, уязвимость для подмены сервера. Эти уязвимости, в частности, затрагивают локальные версии SharePoint, включая SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016, в то время как SharePoint Online в Microsoft 365 остается незатронутым. Использование этих уязвимостей позволяет хакерам проникать в конфиденциальные системы, что может привести к потенциальной краже жизненно важной информации.

С момента своего обнаружения эти уязвимости привлекли внимание широкого круга хакеров, от отдельных киберпреступников до APT-групп, в том числе связанных с национальными государствами. Общий риск усугубляется тесной интеграцией SharePoint с другими службами Microsoft, что позволяет злоумышленникам получать широкий доступ ко всем уязвимым сетям после взлома. Было замечено, что злоумышленники объединяют эти уязвимости нулевого дня с ранее исправленными недостатками, в частности CVE-2025-49704 и CVE-2025-49706, для эффективного выполнения своих атак. Кроме того, Microsoft выпустила исправления для CVE-2025-53770 и CVE-2025-53771.

Методология атак включает в себя обход многофакторной аутентификации (MFA) и единого входа (SSO), что приводит к несанкционированному доступу, при котором злоумышленники используют вредоносные веб-оболочки. Одной из известных обнаруженных веб-оболочек является spinstall0.aspx, отслеживаемый как MSIL/Webshell.JS, который облегчает извлечение информации со взломанных серверов. Было замечено, что другие веб-оболочки ASP используют общие имена файлов, с помощью которых злоумышленники могут выполнять команды с помощью cmd.exe. Первоначальное обнаружение попыток эксплойта началось 17 июля в Германии, а успешное развертывание было отмечено 18 июля в Италии. Наиболее сильно пострадавшим регионом стали Соединенные Штаты, на долю которых приходится 13,3% зафиксированных нападений.

Угроза, связанная с эксплойтами ToolShell, также включает в себя доступ через черный ход, связанный с группой кибершпионажа LuckyMouse, которая ранее атаковала правительственные и телекоммуникационные компании. Это вызывает опасения по поводу того, были ли уязвимые системы ранее уязвимы или были взломаны исключительно из-за эксплойтов ToolShell. По мере того, как, как сообщается, попытки взлома становятся все более активными, особенно со стороны хакеров из Китая, организациям, использующим SharePoint Server, рекомендуется немедленно принять меры защиты: использовать поддерживаемые версии программного обеспечения, обеспечивать своевременное применение обновлений для системы безопасности и поддерживать надлежащую конфигурацию своих интерфейсов проверки на вредоносные программы. Обеспечение безопасности сред SharePoint имеет решающее значение, поскольку угроза продолжающегося использования продолжает угрожать.

#ParsedReport #CompletenessLow
27-07-2025

Inside The ToolShell Campaign

https://www.fortinet.com/blog/threat-research/inside-the-toolshell-campaign

Report completeness: Low

Threats:
Toolshell_vuln
Keysiphon

Victims:
Organizations

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1105, T1190, T1505.003, T1546.008, T1556.001

IOCs:
File: 7
IP: 11
Hash: 4

Soft:
Microsoft SharePoint, Microsoft SharePoint Server, CURL, ASP.NET

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Цепочка эксплойтов "ToolShell" нацелена на незащищенные уязвимости в Microsoft SharePoint, облегчая удаленное выполнение кода с помощью комбинации известных эксплойтов и эксплойтов нулевого дня. Методы атаки включают веб-оболочку под названием "GhostWebShell", которая манипулирует ASP.NET внутренние компоненты для обходных действий и "KeySiphon", который компрометирует конфигурации приложений, обеспечивая несанкционированный доступ. Угроза классифицируется как критическая, и сообщается о все большем количестве реальных инцидентов.
-----

Появилась новая цепочка эксплойтов под названием "ToolShell", предназначенная специально для устранения неисправленных уязвимостей и уязвимостей нулевого дня в Microsoft SharePoint, позволяющих удаленно выполнять код. Эта цепочка объединяет две ранее исправленные уязвимости (CVE-2025-49704 и CVE-2025-49706) и две недавно обнаруженные уязвимости нулевого дня (CVE-2025-53770 и CVE-2025-53771). Степень серьезности этой угрозы классифицируется как критическая и затрагивает Microsoft SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Эти уязвимости позволяют удаленным злоумышленникам получить контроль над уязвимыми системами, что побудило Агентство по кибербезопасности и защите инфраструктуры (CISA) добавить эти уязвимости в свой список известных используемых уязвимостей.

В настоящее время FortiGuard Labs отслеживает многочисленные хакерские атаки, использующие эти уязвимости, и сообщила об увеличении числа реальных инцидентов, связанных с использованием этих серверов SharePoint. Один из известных методов взлома предполагает использование "spinstall0.aspx". Злоумышленники используют различные методы для выполнения своих полезных задач, включая использование базовых команд CURL и PowerShell для извлечения системной информации.

Среди инструментов, используемых в этих нападениях-это сложные веб ASP.NET оболочка известный как "GhostWebShell". Этот веб-Shell позволяет удаленное выполнение кода и поддерживает постоянный доступ через его дизайн, который встраивает в кодировке base64 страницы ASP.NET . При активации он использует параметр "?cmd=" для выполнения произвольных системных команд, используя возможности внутреннего отражения в ASP.NET. Он динамически манипулирует флагами BuildManager, чтобы эффективно обходить стандартные проверки при предварительной компиляции приложений, регистрируя пользовательский VirtualPathProvider, который облегчает его работу без использования файлов. Этот метод позволяет командной оболочке внедрять вредоносный код из памяти или нестандартных мест, что делает его очень обходным и устойчивым инструментом для последующей эксплуатации злоумышленниками.

Кроме того, другой инструмент под названием KeySiphon расширяет возможности злоумышленника, динамически загружая сборку "System.Web" во время выполнения. Он получает доступ к критически важным конфигурациям приложений, которые предоставляют ключи проверки и дешифрования, а также используемые криптографические режимы. Эта возможность позволяет злоумышленникам подделывать токены аутентификации, манипулировать MAC-адресами ViewState, что может привести к несанкционированному доступу к данным, и расшифровывать конфиденциальную информацию в домене приложения. В целом, эти разработки свидетельствуют о растущей сложности методов атаки, нацеленных на уязвимости в системах SharePoint.

#ParsedReport #CompletenessLow
27-07-2025

Bulletproof Hosting Hunt

https://intelinsights.substack.com/p/bulletproof-hosting-hunt

Report completeness: Low

Threats:
Lumma_stealer
Makoob
Cloudeye
Agent_tesla
Mirai
Qakbot
Condi
Amadey
Zapchast
Vidar_stealer
Darkgate

Geo:
Germany, Russia, Finland, Russian, Estonia, Netherlands

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1071.001, T1071.004, T1090.002, T1095, T1105, T1204.002, T1566.001, T1583.003, have more...

IOCs:
IP: 80
Domain: 2
Url: 242
Hash: 242

Soft:
Telegram

Algorithms:
zip

Platforms:
x86, arm, mips

#ParsedReport #ExtractedSchema

Classified images:
code: 3, chart: 3, windows: 2, schema: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование вредоносного ПО Lumma выявило сложную инфраструктуру, связанную с несколькими хакерами и обеспечивающую связь с более чем 292 IP-адресами. Ключевой IP-адрес, 141.98.6.34, содержал информацию о взломщиках и троянах, а также указывал на связи с печально известными ботнетами, такими как Mirai. Исследование выявило различные типы вредоносных программ, включая droppers и RATs, продемонстрировав обширную связь C2 по 39 вредоносным IP-адресам, в основном использующим порт 666 для DDoS-атак и действий инфокрадов.
-----

Недавние исследования семейства вредоносных программ Lumma выявили значительную вредоносную инфраструктуру, связанную с многочисленными хакерами. Lumma остается одним из пяти крупнейших семейств вредоносных программ, что облегчает идентификацию активных хостов и связанной с ними инфраструктуры управления (C2). Анализ последних образцов Lumma выявил связь с 292 различными IP-адресами, многие из которых были скрыты сетями доставки контента (CDN), такими как Cloudflare и Akamai. Фильтрация этих скрытых доменов привела к обнаружению важного IP-адреса 141.98.6.34, который является частью номера автономной системы (ASN) 213702, управляемого QWINS LTD, недорогим хостинг-провайдером, предлагающим услуги через Telegram.

Анализ показал, что на этом IP-адресе размещается ряд вредоносных программ, в основном, типы файлов, связанные с кражей информации и троянскими программами. Различные виды угроз, по-видимому, группировались вокруг этого ASN, что позволяет предположить, что либо несколько участников используют одну и ту же инфраструктуру, либо один участник проводит различные атаки. Кроме того, в ходе расследования были выявлены три дополнительных IP-адреса с аналогичными характеристиками и самозаверяющими сертификатами, которые были связаны с вредоносными программами, такими как Makoob, Guloader и AgentTesla, что усиливало совместную вредоносную деятельность в этой хостинговой сети.

Дальнейшая проверка привела к обнаружению другой цели, IP-адреса 141.98.6.81, который подключен к ботнетам, включая Mirai, Quackbot и Qbot. Это говорит о широком спектре вредоносных действий, происходящих в этой относительно небольшой сети ASN с примерно 3000 IP-адресами. Анализ показателей компрометации (IOCs) за последние 30 дней выявил большое разнообразие типов вредоносных программ, в основном классифицируемых как дропперы, и выявил связанные с ними ботнеты, трояны удаленного доступа (RAT) и криптоминеры, нацеленные на различные архитектуры, включая Windows и Linux.

Результаты этого расследования также выявили 39 вредоносных IP-адресов, задействованных в более чем 120 полезных нагрузках, связанных с ботнетами, инфраструктурой DDoS-атак и коммуникациями C2, которые в основном наблюдались на порту 666. Анализ помеченных IP-адресов показал наличие более 45 образцов, в которых, по-видимому, преобладают такие инфокрады, как Amadey, Lumma и Vidar, что, вероятно, определяет управление цепочкой заражения и первоначальное распределение полезной нагрузки. Кроме того, поток вредоносных файлов позволил получить представление о процессах утечки данных, когда определенные сети выступали в качестве центров обмена данными C2 и различных этапах внедрения вредоносных программ.

#ParsedReport #CompletenessLow
22-07-2025

Threat Intelligence: An Analysis of a Malicious Solana Open-source Trading Bot

https://slowmist.medium.com/threat-intelligence-an-analysis-of-a-malicious-solana-open-source-trading-bot-ab580fd3cc89

Report completeness: Low

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1071.001, T1195, T1552.001

IOCs:
IP: 1
Hash: 2
File: 1

Soft:
SlowMist, Zoom

Crypto:
solana, binance

Algorithms:
sha256, base58

Functions:
create_coingecko_proxy, import_wallet, import_env_var, from_utf8, to_base58_string, main, new

Win API:
Arc

Languages:
python

Links:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README\_CN.md

#ParsedReport #GeneratedSchema
Generated with GPT-4