#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET выявило критические уязвимости нулевого дня в Microsoft SharePoint Server, эксплуатируемые с 19 июля 2025 года, позволяющие злоумышленникам проникать в системы и красть информацию. Уязвимости (CVE-2025-53770 и CVE-2025-53771) затрагивают локальные версии SharePoint и облегчают атаки в обход MFA/SSO, развертывая веб-оболочки, такие как spinstall0.aspx. Ландшафт угроз включает в себя множество хакеров, в частности группу LuckyMouse, что вызывает опасения по поводу продолжающейся эксплуатации.
-----

Компания ESET Research выявила критические уязвимости нулевого дня в Microsoft SharePoint Server, в совокупности именуемые ToolShell, которые, как было подтверждено корпорацией Майкрософт, активно использовались с 19 июля 2025 года. Уязвимости обозначены как CVE-2025-53770, уязвимость для удаленного выполнения кода, и CVE-2025-53771, уязвимость для подмены сервера. Эти уязвимости, в частности, затрагивают локальные версии SharePoint, включая SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016, в то время как SharePoint Online в Microsoft 365 остается незатронутым. Использование этих уязвимостей позволяет хакерам проникать в конфиденциальные системы, что может привести к потенциальной краже жизненно важной информации.

С момента своего обнаружения эти уязвимости привлекли внимание широкого круга хакеров, от отдельных киберпреступников до APT-групп, в том числе связанных с национальными государствами. Общий риск усугубляется тесной интеграцией SharePoint с другими службами Microsoft, что позволяет злоумышленникам получать широкий доступ ко всем уязвимым сетям после взлома. Было замечено, что злоумышленники объединяют эти уязвимости нулевого дня с ранее исправленными недостатками, в частности CVE-2025-49704 и CVE-2025-49706, для эффективного выполнения своих атак. Кроме того, Microsoft выпустила исправления для CVE-2025-53770 и CVE-2025-53771.

Методология атак включает в себя обход многофакторной аутентификации (MFA) и единого входа (SSO), что приводит к несанкционированному доступу, при котором злоумышленники используют вредоносные веб-оболочки. Одной из известных обнаруженных веб-оболочек является spinstall0.aspx, отслеживаемый как MSIL/Webshell.JS, который облегчает извлечение информации со взломанных серверов. Было замечено, что другие веб-оболочки ASP используют общие имена файлов, с помощью которых злоумышленники могут выполнять команды с помощью cmd.exe. Первоначальное обнаружение попыток эксплойта началось 17 июля в Германии, а успешное развертывание было отмечено 18 июля в Италии. Наиболее сильно пострадавшим регионом стали Соединенные Штаты, на долю которых приходится 13,3% зафиксированных нападений.

Угроза, связанная с эксплойтами ToolShell, также включает в себя доступ через черный ход, связанный с группой кибершпионажа LuckyMouse, которая ранее атаковала правительственные и телекоммуникационные компании. Это вызывает опасения по поводу того, были ли уязвимые системы ранее уязвимы или были взломаны исключительно из-за эксплойтов ToolShell. По мере того, как, как сообщается, попытки взлома становятся все более активными, особенно со стороны хакеров из Китая, организациям, использующим SharePoint Server, рекомендуется немедленно принять меры защиты: использовать поддерживаемые версии программного обеспечения, обеспечивать своевременное применение обновлений для системы безопасности и поддерживать надлежащую конфигурацию своих интерфейсов проверки на вредоносные программы. Обеспечение безопасности сред SharePoint имеет решающее значение, поскольку угроза продолжающегося использования продолжает угрожать.

#ParsedReport #CompletenessLow
27-07-2025

Inside The ToolShell Campaign

https://www.fortinet.com/blog/threat-research/inside-the-toolshell-campaign

Report completeness: Low

Threats:
Toolshell_vuln
Keysiphon

Victims:
Organizations

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1105, T1190, T1505.003, T1546.008, T1556.001

IOCs:
File: 7
IP: 11
Hash: 4

Soft:
Microsoft SharePoint, Microsoft SharePoint Server, CURL, ASP.NET

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Цепочка эксплойтов "ToolShell" нацелена на незащищенные уязвимости в Microsoft SharePoint, облегчая удаленное выполнение кода с помощью комбинации известных эксплойтов и эксплойтов нулевого дня. Методы атаки включают веб-оболочку под названием "GhostWebShell", которая манипулирует ASP.NET внутренние компоненты для обходных действий и "KeySiphon", который компрометирует конфигурации приложений, обеспечивая несанкционированный доступ. Угроза классифицируется как критическая, и сообщается о все большем количестве реальных инцидентов.
-----

Появилась новая цепочка эксплойтов под названием "ToolShell", предназначенная специально для устранения неисправленных уязвимостей и уязвимостей нулевого дня в Microsoft SharePoint, позволяющих удаленно выполнять код. Эта цепочка объединяет две ранее исправленные уязвимости (CVE-2025-49704 и CVE-2025-49706) и две недавно обнаруженные уязвимости нулевого дня (CVE-2025-53770 и CVE-2025-53771). Степень серьезности этой угрозы классифицируется как критическая и затрагивает Microsoft SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Эти уязвимости позволяют удаленным злоумышленникам получить контроль над уязвимыми системами, что побудило Агентство по кибербезопасности и защите инфраструктуры (CISA) добавить эти уязвимости в свой список известных используемых уязвимостей.

В настоящее время FortiGuard Labs отслеживает многочисленные хакерские атаки, использующие эти уязвимости, и сообщила об увеличении числа реальных инцидентов, связанных с использованием этих серверов SharePoint. Один из известных методов взлома предполагает использование "spinstall0.aspx". Злоумышленники используют различные методы для выполнения своих полезных задач, включая использование базовых команд CURL и PowerShell для извлечения системной информации.

Среди инструментов, используемых в этих нападениях-это сложные веб ASP.NET оболочка известный как "GhostWebShell". Этот веб-Shell позволяет удаленное выполнение кода и поддерживает постоянный доступ через его дизайн, который встраивает в кодировке base64 страницы ASP.NET . При активации он использует параметр "?cmd=" для выполнения произвольных системных команд, используя возможности внутреннего отражения в ASP.NET. Он динамически манипулирует флагами BuildManager, чтобы эффективно обходить стандартные проверки при предварительной компиляции приложений, регистрируя пользовательский VirtualPathProvider, который облегчает его работу без использования файлов. Этот метод позволяет командной оболочке внедрять вредоносный код из памяти или нестандартных мест, что делает его очень обходным и устойчивым инструментом для последующей эксплуатации злоумышленниками.

Кроме того, другой инструмент под названием KeySiphon расширяет возможности злоумышленника, динамически загружая сборку "System.Web" во время выполнения. Он получает доступ к критически важным конфигурациям приложений, которые предоставляют ключи проверки и дешифрования, а также используемые криптографические режимы. Эта возможность позволяет злоумышленникам подделывать токены аутентификации, манипулировать MAC-адресами ViewState, что может привести к несанкционированному доступу к данным, и расшифровывать конфиденциальную информацию в домене приложения. В целом, эти разработки свидетельствуют о растущей сложности методов атаки, нацеленных на уязвимости в системах SharePoint.

#ParsedReport #CompletenessLow
27-07-2025

Bulletproof Hosting Hunt

https://intelinsights.substack.com/p/bulletproof-hosting-hunt

Report completeness: Low

Threats:
Lumma_stealer
Makoob
Cloudeye
Agent_tesla
Mirai
Qakbot
Condi
Amadey
Zapchast
Vidar_stealer
Darkgate

Geo:
Germany, Russia, Finland, Russian, Estonia, Netherlands

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1071.001, T1071.004, T1090.002, T1095, T1105, T1204.002, T1566.001, T1583.003, have more...

IOCs:
IP: 80
Domain: 2
Url: 242
Hash: 242

Soft:
Telegram

Algorithms:
zip

Platforms:
x86, arm, mips

#ParsedReport #ExtractedSchema

Classified images:
code: 3, chart: 3, windows: 2, schema: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование вредоносного ПО Lumma выявило сложную инфраструктуру, связанную с несколькими хакерами и обеспечивающую связь с более чем 292 IP-адресами. Ключевой IP-адрес, 141.98.6.34, содержал информацию о взломщиках и троянах, а также указывал на связи с печально известными ботнетами, такими как Mirai. Исследование выявило различные типы вредоносных программ, включая droppers и RATs, продемонстрировав обширную связь C2 по 39 вредоносным IP-адресам, в основном использующим порт 666 для DDoS-атак и действий инфокрадов.
-----

Недавние исследования семейства вредоносных программ Lumma выявили значительную вредоносную инфраструктуру, связанную с многочисленными хакерами. Lumma остается одним из пяти крупнейших семейств вредоносных программ, что облегчает идентификацию активных хостов и связанной с ними инфраструктуры управления (C2). Анализ последних образцов Lumma выявил связь с 292 различными IP-адресами, многие из которых были скрыты сетями доставки контента (CDN), такими как Cloudflare и Akamai. Фильтрация этих скрытых доменов привела к обнаружению важного IP-адреса 141.98.6.34, который является частью номера автономной системы (ASN) 213702, управляемого QWINS LTD, недорогим хостинг-провайдером, предлагающим услуги через Telegram.

Анализ показал, что на этом IP-адресе размещается ряд вредоносных программ, в основном, типы файлов, связанные с кражей информации и троянскими программами. Различные виды угроз, по-видимому, группировались вокруг этого ASN, что позволяет предположить, что либо несколько участников используют одну и ту же инфраструктуру, либо один участник проводит различные атаки. Кроме того, в ходе расследования были выявлены три дополнительных IP-адреса с аналогичными характеристиками и самозаверяющими сертификатами, которые были связаны с вредоносными программами, такими как Makoob, Guloader и AgentTesla, что усиливало совместную вредоносную деятельность в этой хостинговой сети.

Дальнейшая проверка привела к обнаружению другой цели, IP-адреса 141.98.6.81, который подключен к ботнетам, включая Mirai, Quackbot и Qbot. Это говорит о широком спектре вредоносных действий, происходящих в этой относительно небольшой сети ASN с примерно 3000 IP-адресами. Анализ показателей компрометации (IOCs) за последние 30 дней выявил большое разнообразие типов вредоносных программ, в основном классифицируемых как дропперы, и выявил связанные с ними ботнеты, трояны удаленного доступа (RAT) и криптоминеры, нацеленные на различные архитектуры, включая Windows и Linux.

Результаты этого расследования также выявили 39 вредоносных IP-адресов, задействованных в более чем 120 полезных нагрузках, связанных с ботнетами, инфраструктурой DDoS-атак и коммуникациями C2, которые в основном наблюдались на порту 666. Анализ помеченных IP-адресов показал наличие более 45 образцов, в которых, по-видимому, преобладают такие инфокрады, как Amadey, Lumma и Vidar, что, вероятно, определяет управление цепочкой заражения и первоначальное распределение полезной нагрузки. Кроме того, поток вредоносных файлов позволил получить представление о процессах утечки данных, когда определенные сети выступали в качестве центров обмена данными C2 и различных этапах внедрения вредоносных программ.

#ParsedReport #CompletenessLow
22-07-2025

Threat Intelligence: An Analysis of a Malicious Solana Open-source Trading Bot

https://slowmist.medium.com/threat-intelligence-an-analysis-of-a-malicious-solana-open-source-trading-bot-ab580fd3cc89

Report completeness: Low

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1071.001, T1195, T1552.001

IOCs:
IP: 1
Hash: 2
File: 1

Soft:
SlowMist, Zoom

Crypto:
solana, binance

Algorithms:
sha256, base58

Functions:
create_coingecko_proxy, import_wallet, import_env_var, from_utf8, to_base58_string, main, new

Win API:
Arc

Languages:
python

Links:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README\_CN.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года в ходе расследований была выявлена кража криптовалюты, связанная с вредоносными проектами на GitHub с открытым исходным кодом, которые маскировали свою цель кражей конфиденциальной информации, включая закрытые ключи. Злоумышленники внедряли вредоносный код в, казалось бы, законные приложения, что приводило к потере активов пользователей. Динамический анализ подтвердил, что вредоносное ПО может эффективно извлекать данные, что подчеркивает уязвимости в проектах с открытым исходным кодом и необходимость бдительности пользователей.
-----

В июле 2025 года расследования, проведенные командой безопасности SlowMist, показали, что кража криптоактивов у жертвы была связана с вредоносным проектом с открытым исходным кодом на GitHub, в частности zldp2002/solana-pumpfun-bot. Этот проект был создан для того, чтобы скрыть свою истинную цель, внедрив скрытый механизм кражи криптовалюты. Аналогичные инциденты произошли с ботом audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, в котором пользователи невольно выполняли вредоносный код, что привело к потере их активов.

Злоумышленники внедрили свой вредоносный код в то, что казалось законным приложением с открытым исходным кодом, соблазняя пользователей запустить его. После активации программа была способна незаметно извлекать конфиденциальную информацию, в частности, закрытый ключ пользователя, из локального файла .env и передавать эти данные на сервер, контролируемый злоумышленником. Этот метод иллюстрирует распространенный вектор атаки, когда, казалось бы, безобидные приложения служат средством для вредоносных действий.

Чтобы лучше понять поведение этой вредоносной программы, команда SlowMist провела динамический анализ. В ходе этого процесса они модифицировали вредоносный код, чтобы перенаправить украденную информацию на контролируемый тестовый сервер. Для этого была создана пара ключей Solana для тестирования и изменен адрес сервера во вредоносном коде. Эксперимент подтвердил возможность кражи, поскольку тестовый сервер получил POST-запрос, содержащий закрытый ключ, иллюстрирующий, как вредоносная программа эффективно удаляет конфиденциальные данные.

Методы и стратегии, используемые злоумышленниками, указывают на значительные уязвимости в использовании проектов с открытым исходным кодом. Широко доступные инструменты могут быть использованы для совершения мошенничества и краж в криптовалютном пространстве, что подчеркивает необходимость бдительности пользователей при использовании таких проектов. Ключевые элементы функциональности вредоносного ПО были умело замаскированы под безобидно звучащие методы, такие как create_coingecko_proxy(), которые предполагали законные операции, такие как поиск цен, но скрывали скрытые мотивы кражи данных. Такая двойная функциональность усложняет обнаружение и повышает эффективность атаки. Таким образом, это служит напоминанием о постоянной важности осознания безопасности и принятия защитных мер при взаимодействии с блокчейн-технологиями.

#ParsedReport #CompletenessLow
28-07-2025

Phishing Campaign Imitating U.S. Department of Education (G5) BforeAI

https://bfore.ai/report/phishing-campaign-imitating-united-states-department-of-education-g5/

Report completeness: Low

Threats:
Cloaking_technique
Supply_chain_technique

Victims:
U.s. department of education, G5 grant portal, Education professionals, Grant administrators, Vendors tied to the u.s. department of education

Industry:
Government, Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078, T1114, T1189, T1192, T1204.002, T1556.006, T1566, T1584.001, have more...

IOCs:
Domain: 6
File: 2

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на портал грантов G5 Министерства образования США, использует похожие домены для кражи учетных данных для входа на поддельную страницу с использованием JavaScript и методов маскировки. Кампания создает риски кражи учетных данных, что может привести к мошенничеству и проблемам национальной безопасности.
-----

Была выявлена фишинговая кампания, нацеленная конкретно на портал грантов G5 Министерства образования США, который облегчает управление грантами и федеральным финансированием в сфере образования. В кампании используется несколько доменов-двойников, предназначенных для клонирования страницы входа в систему G5 с целью обмана пользователей, чтобы заставить их предоставить свои учетные данные для входа. Эта продолжающаяся деятельность вызывает особую обеспокоенность в связи с недавним объявлением о значительных сокращениях в Департаменте образования, что может повысить подверженность тактике социальной инженерии.

Обнаруженные вредоносные домены зарегистрированы в компании, известной своим строгим соблюдением правил, связанных со злоупотреблениями, и размещены в CDN Cloudflare, что повышает их защищенность и устойчивость к попыткам удаления. Эти домены имитируют визуальный дизайн и структуру официального портала G5, включая поддельную форму входа в систему, которая использует JavaScript для проверки учетных данных. Примечательно, что на фишинговой странице поле для входа в систему "чувствительно к регистру", чтобы создать иллюзию легитимности.

При взаимодействии с поддельным порталом данные пользователей передаются с помощью скрипта analytics.php, в то время как для создания видимости аутентичной регистрации используется асинхронный цикл updates.php. Мошеннические сайты также используют методы маскировки на основе браузера и манипулирования DOM, чтобы избежать обнаружения автоматическими сканерами. Кроме того, после предоставления учетных данных злоумышленники могут перенаправить жертву на вторичную конечную точку, что может облегчить дальнейшие попытки фишинга или обхода многофакторной аутентификации (MFA).

Последствия кражи учетных данных в результате этой фишинговой кампании серьезны, поскольку злоумышленники потенциально могут получить доступ к конфиденциальным данным о присуждении грантов, изменить платежные инструкции или выдать себя за получателей с целью совершения мошенничества. Атака также вызывает опасения по поводу национальной безопасности, учитывая потенциальную возможность того, что эти вторжения могут повлиять на федеральную инфраструктуру или быть использованы для атак на цепочки поставок.

Чтобы снизить риски, все выявленные домены были помечены и в настоящее время подвергаются сбоям. Индикаторы угроз были переданы в партнерские аналитические сети для отслеживания потенциального повторного использования вредоносных ресурсов. Управление Генерального инспектора Министерства образования было проинформировано о фишинговой кампании, чтобы помочь в более широких усилиях по защите и реагированию. Продолжается постоянный мониторинг для отслеживания и устранения любых будущих угроз, связанных с этой кампанией.

#ParsedReport #CompletenessLow
24-07-2025

A Spike in the Desert: How GreyNoise Uncovered a Global Pattern of VOIP-Based Telnet Attacks

https://www.greynoise.io/blog/how-greynoise-uncovered-global-pattern-voip-based-telnet-attacks

Report completeness: Low

Threats:
Mirai

Victims:
Small utilities, Isps

Industry:
Telco, Iot

Geo:
Mexico

ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1078.001, T1087, T1110.001, T1583.003

IOCs:
IP: 8780

Links:
https://github.com/GreyNoise-Intelligence/greynoise-mcp-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Концентрация вредоносных IP-адресов в Нью-Мексико была связана с активностью ботнета, которая в основном определялась по сигнатуре JA4t. Среди показателей были слабые учетные данные telnet и поведение, соответствующее вредоносному ПО Mirai, нацеленному на уязвимые устройства Интернета вещей и системы VOIP. Осознание этой проблемы привело к снижению вредоносного трафика.
-----

Недавний анализ выявил значительную концентрацию вредоносных IP-адресов, исходящих из небольшого района в Нью-Мексико, который, по-видимому, был задействован в ботнетической деятельности. Этот необычный трафик, охватывающий около 90 IP-адресов из сообщества, насчитывающего примерно 3000 жителей, был отследен до единственного интернет-провайдера (ISP). Примечательно, что на отличительную сигнатуру JA4t, а именно на 5840_2-4-8-1-3_1460_1, приходилось около 90% трафика от этого провайдера, что указывает на то, что скомпрометированные устройства, вероятно, имели схожие аппаратные конфигурации.

Расследование выявило множество признаков компрометации ботнета, включая попытки входа в telnet с использованием ненадежных учетных данных или учетных данных по умолчанию и необычно высокий объем сеансов. Наблюдаемое поведение при сканировании соответствовало известным вариантам ботнета Mirai, типа вредоносного ПО, известного тем, что оно использует устройства Интернета вещей. Кроме того, некоторые из выявленных IP-адресов были связаны с устройствами, поддерживающими VOIP, что позволяет предположить, что эти уязвимые системы, которые, вероятно, не получают надлежащего контроля безопасности, представляют собой более широкую категорию уязвимой инфраструктуры, предназначенной для операций ботнета.

Вскоре после того, как следственная группа поделилась предварительными выводами в социальных сетях, вредоносный трафик от утилиты New Mexico значительно сократился, что указывает на то, что разоблачение и осведомленность, возможно, повлияли на работу ботнета. Этот инцидент подчеркивает сохраняющуюся уязвимость систем VOIP и потенциальную возможность того, что небольшие коммунальные службы и интернет-провайдеры могут непреднамеренно внести свой вклад в инфраструктуру глобальных ботнетов, особенно тех, которые используют тактику Mirai, используя доступные системы в пределах своей досягаемости.

#ParsedReport #CompletenessHigh
23-07-2025

Understanding Current CastleLoader Campaigns

https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns

Report completeness: High

Threats:
Castleloader
Stealc
Redline_stealer
Deerstealer
Netsupportmanager_rat
Sectop_rat
Hijackloader
Clickfix_technique

Victims:
Government entities

Industry:
Government, Software_development

TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 3
Url: 1
Hash: 3
Domain: 2

Soft:
SQL Server Management Studio, Docker

Algorithms:
zip

Functions:
unsecuredCopyToClipboard, Get-Item, Set-Location

Languages:
powershell, php, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это вредоносная программа-загрузчик, использующая фишинговые технологии ClickFix, использующая имитацию доменов для обмана пользователей и принуждения их к выполнению вредоносных команд. После заражения устройства могут быть нацелены на похитителей информации и "крыс". Вредоносная программа использует гибкую платформу распространения, которая подключается к серверу C2 для дальнейшей доставки полезной нагрузки, использует веб-панель управления для оперативного контроля и извлекает выгоду из подробного анализа пользовательских данных для усиления будущих атак.
-----

В мире угроз все чаще доминирует вредоносная программа-загрузчик, известная как CastleLoader, которая появилась в начале 2025 года. Эта вредоносная программа использует фишинговые технологии ClickFix, используя домены, имитирующие законные приложения и библиотеки для разработки программного обеспечения, такие как тематические страницы Cloudflare, для обмана пользователей. Жертв заманивают на выполнение вредоносных команд, в результате чего они загружают вредоносное ПО, предназначенное для конкретной кампании, которое варьируется в зависимости от целей злоумышленников. Следовательно, зараженные устройства могут стать жертвой похитителей информации и троянских программ удаленного доступа (RAT), предоставляя злоумышленникам доступ к бэкдору для дальнейших эксплойтов.

В своей работе CastleLoader использует гибкую платформу распространения, способную предоставлять широкий спектр вредоносных программ. Каждая кампания распространения отличается друг от друга, но у них есть общий механизм распаковки и выполнения загруженных полезных файлов непосредственно в память в виде динамически подключаемых библиотек (DLL). Первоначальная вредоносная программа часто устанавливает соединение с сервером управления (C2), что облегчает поиск дополнительных вредоносных компонентов из различных источников, усложняя идентификацию и повышая устойчивость к контрмерам. В ходе недавних кампаний, в частности, было заражено более 400 критически важных объектов, включая многочисленные правительственные учреждения США.

Инфраструктура C2, связанная с CastleLoader, оснащена сложной веб-панелью управления, которая позволяет осуществлять всесторонний контроль за операциями вредоносного ПО. Эта панель поддерживает модель "вредоносное ПО как услуга" (MaaS), что подчеркивает организованный характер действий злоумышленников. Он отслеживает показатели заражения, управляет полезной нагрузкой от вредоносных программ и позволяет детально корректировать кампании на основе географического таргетинга и условий эксплуатации. Административные средства управления оптимизируют выполнение полезной нагрузки и управление ею, а расширенные функции, такие как автоматическое извлечение ZIP-файлов и повышение привилегий, обеспечивают повышенную операционную безопасность.

Кроме того, хакеры используют аналитические данные, полученные из URL-адресов вредоносных загрузчиков, регистрируя подробные пользовательские данные, такие как IP-адреса и строки пользовательского агента. Эти данные служат основой для будущих стратегий кампании, позволяя лучше настраивать вредоносную нагрузку. Возможность манипулировать трафиком и перенаправлять его еще больше помогает избежать обнаружения и повышает эффективность тактики фишинга.

CastleLoader, благодаря своей сложности в эксплуатации и развивающимся методам доставки, знаменует собой заметный сдвиг в среде хакеров, демонстрируя хорошо скоординированный и адаптивный подход хакеров. Поскольку в кампаниях используются как сложные технические механизмы, так и социальная инженерия, уровень заражения, превышающий 28% среди тех, кто перешел по вредоносным ссылкам, подчеркивает срочность разработки мер кибербезопасности для борьбы с этими динамичными угрозами.

#ParsedReport #CompletenessMedium
24-07-2025

Hybrid Analysis Blog: New Advanced Stealer (SHUYAL) Targets Credentials Across 19 Popular Browsers

https://hybrid-analysis.blogspot.com/2025/07/new-advanced-stealer-shuyal-targets.html

Report completeness: Medium

Threats:
Shuyal

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1056.001, T1057, T1070.004, T1071.001, T1074.001, T1082, T1113, T1115, have more...

IOCs:
Command: 1
File: 8
Hash: 1

Soft:
Chrome, Opera, OperaGx, Vivaldi, Chromium, Waterfox, Slimjet, Coccoc, Maxthon, 360browser, have more...

Algorithms:
zip, sha256, des

Win API:
CreatePipe, TerminateProcess, SHGetSpecialFolderPathA, CopyFileA, GetFileAttributesExW, CryptUnprotectData, OpenClipboard, GetClipboardData, GdiplusStartup, BitBlt, have more...

Languages:
powershell