#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Цепочка эксплойтов "ToolShell" нацелена на незащищенные уязвимости в Microsoft SharePoint, облегчая удаленное выполнение кода с помощью комбинации известных эксплойтов и эксплойтов нулевого дня. Методы атаки включают веб-оболочку под названием "GhostWebShell", которая манипулирует ASP.NET внутренние компоненты для обходных действий и "KeySiphon", который компрометирует конфигурации приложений, обеспечивая несанкционированный доступ. Угроза классифицируется как критическая, и сообщается о все большем количестве реальных инцидентов.
-----

Появилась новая цепочка эксплойтов под названием "ToolShell", предназначенная специально для устранения неисправленных уязвимостей и уязвимостей нулевого дня в Microsoft SharePoint, позволяющих удаленно выполнять код. Эта цепочка объединяет две ранее исправленные уязвимости (CVE-2025-49704 и CVE-2025-49706) и две недавно обнаруженные уязвимости нулевого дня (CVE-2025-53770 и CVE-2025-53771). Степень серьезности этой угрозы классифицируется как критическая и затрагивает Microsoft SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Эти уязвимости позволяют удаленным злоумышленникам получить контроль над уязвимыми системами, что побудило Агентство по кибербезопасности и защите инфраструктуры (CISA) добавить эти уязвимости в свой список известных используемых уязвимостей.

В настоящее время FortiGuard Labs отслеживает многочисленные хакерские атаки, использующие эти уязвимости, и сообщила об увеличении числа реальных инцидентов, связанных с использованием этих серверов SharePoint. Один из известных методов взлома предполагает использование "spinstall0.aspx". Злоумышленники используют различные методы для выполнения своих полезных задач, включая использование базовых команд CURL и PowerShell для извлечения системной информации.

Среди инструментов, используемых в этих нападениях-это сложные веб ASP.NET оболочка известный как "GhostWebShell". Этот веб-Shell позволяет удаленное выполнение кода и поддерживает постоянный доступ через его дизайн, который встраивает в кодировке base64 страницы ASP.NET . При активации он использует параметр "?cmd=" для выполнения произвольных системных команд, используя возможности внутреннего отражения в ASP.NET. Он динамически манипулирует флагами BuildManager, чтобы эффективно обходить стандартные проверки при предварительной компиляции приложений, регистрируя пользовательский VirtualPathProvider, который облегчает его работу без использования файлов. Этот метод позволяет командной оболочке внедрять вредоносный код из памяти или нестандартных мест, что делает его очень обходным и устойчивым инструментом для последующей эксплуатации злоумышленниками.

Кроме того, другой инструмент под названием KeySiphon расширяет возможности злоумышленника, динамически загружая сборку "System.Web" во время выполнения. Он получает доступ к критически важным конфигурациям приложений, которые предоставляют ключи проверки и дешифрования, а также используемые криптографические режимы. Эта возможность позволяет злоумышленникам подделывать токены аутентификации, манипулировать MAC-адресами ViewState, что может привести к несанкционированному доступу к данным, и расшифровывать конфиденциальную информацию в домене приложения. В целом, эти разработки свидетельствуют о растущей сложности методов атаки, нацеленных на уязвимости в системах SharePoint.

#ParsedReport #CompletenessLow
27-07-2025

Bulletproof Hosting Hunt

https://intelinsights.substack.com/p/bulletproof-hosting-hunt

Report completeness: Low

Threats:
Lumma_stealer
Makoob
Cloudeye
Agent_tesla
Mirai
Qakbot
Condi
Amadey
Zapchast
Vidar_stealer
Darkgate

Geo:
Germany, Russia, Finland, Russian, Estonia, Netherlands

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1071.001, T1071.004, T1090.002, T1095, T1105, T1204.002, T1566.001, T1583.003, have more...

IOCs:
IP: 80
Domain: 2
Url: 242
Hash: 242

Soft:
Telegram

Algorithms:
zip

Platforms:
x86, arm, mips

#ParsedReport #ExtractedSchema

Classified images:
code: 3, chart: 3, windows: 2, schema: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование вредоносного ПО Lumma выявило сложную инфраструктуру, связанную с несколькими хакерами и обеспечивающую связь с более чем 292 IP-адресами. Ключевой IP-адрес, 141.98.6.34, содержал информацию о взломщиках и троянах, а также указывал на связи с печально известными ботнетами, такими как Mirai. Исследование выявило различные типы вредоносных программ, включая droppers и RATs, продемонстрировав обширную связь C2 по 39 вредоносным IP-адресам, в основном использующим порт 666 для DDoS-атак и действий инфокрадов.
-----

Недавние исследования семейства вредоносных программ Lumma выявили значительную вредоносную инфраструктуру, связанную с многочисленными хакерами. Lumma остается одним из пяти крупнейших семейств вредоносных программ, что облегчает идентификацию активных хостов и связанной с ними инфраструктуры управления (C2). Анализ последних образцов Lumma выявил связь с 292 различными IP-адресами, многие из которых были скрыты сетями доставки контента (CDN), такими как Cloudflare и Akamai. Фильтрация этих скрытых доменов привела к обнаружению важного IP-адреса 141.98.6.34, который является частью номера автономной системы (ASN) 213702, управляемого QWINS LTD, недорогим хостинг-провайдером, предлагающим услуги через Telegram.

Анализ показал, что на этом IP-адресе размещается ряд вредоносных программ, в основном, типы файлов, связанные с кражей информации и троянскими программами. Различные виды угроз, по-видимому, группировались вокруг этого ASN, что позволяет предположить, что либо несколько участников используют одну и ту же инфраструктуру, либо один участник проводит различные атаки. Кроме того, в ходе расследования были выявлены три дополнительных IP-адреса с аналогичными характеристиками и самозаверяющими сертификатами, которые были связаны с вредоносными программами, такими как Makoob, Guloader и AgentTesla, что усиливало совместную вредоносную деятельность в этой хостинговой сети.

Дальнейшая проверка привела к обнаружению другой цели, IP-адреса 141.98.6.81, который подключен к ботнетам, включая Mirai, Quackbot и Qbot. Это говорит о широком спектре вредоносных действий, происходящих в этой относительно небольшой сети ASN с примерно 3000 IP-адресами. Анализ показателей компрометации (IOCs) за последние 30 дней выявил большое разнообразие типов вредоносных программ, в основном классифицируемых как дропперы, и выявил связанные с ними ботнеты, трояны удаленного доступа (RAT) и криптоминеры, нацеленные на различные архитектуры, включая Windows и Linux.

Результаты этого расследования также выявили 39 вредоносных IP-адресов, задействованных в более чем 120 полезных нагрузках, связанных с ботнетами, инфраструктурой DDoS-атак и коммуникациями C2, которые в основном наблюдались на порту 666. Анализ помеченных IP-адресов показал наличие более 45 образцов, в которых, по-видимому, преобладают такие инфокрады, как Amadey, Lumma и Vidar, что, вероятно, определяет управление цепочкой заражения и первоначальное распределение полезной нагрузки. Кроме того, поток вредоносных файлов позволил получить представление о процессах утечки данных, когда определенные сети выступали в качестве центров обмена данными C2 и различных этапах внедрения вредоносных программ.

#ParsedReport #CompletenessLow
22-07-2025

Threat Intelligence: An Analysis of a Malicious Solana Open-source Trading Bot

https://slowmist.medium.com/threat-intelligence-an-analysis-of-a-malicious-solana-open-source-trading-bot-ab580fd3cc89

Report completeness: Low

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1071.001, T1195, T1552.001

IOCs:
IP: 1
Hash: 2
File: 1

Soft:
SlowMist, Zoom

Crypto:
solana, binance

Algorithms:
sha256, base58

Functions:
create_coingecko_proxy, import_wallet, import_env_var, from_utf8, to_base58_string, main, new

Win API:
Arc

Languages:
python

Links:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README\_CN.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года в ходе расследований была выявлена кража криптовалюты, связанная с вредоносными проектами на GitHub с открытым исходным кодом, которые маскировали свою цель кражей конфиденциальной информации, включая закрытые ключи. Злоумышленники внедряли вредоносный код в, казалось бы, законные приложения, что приводило к потере активов пользователей. Динамический анализ подтвердил, что вредоносное ПО может эффективно извлекать данные, что подчеркивает уязвимости в проектах с открытым исходным кодом и необходимость бдительности пользователей.
-----

В июле 2025 года расследования, проведенные командой безопасности SlowMist, показали, что кража криптоактивов у жертвы была связана с вредоносным проектом с открытым исходным кодом на GitHub, в частности zldp2002/solana-pumpfun-bot. Этот проект был создан для того, чтобы скрыть свою истинную цель, внедрив скрытый механизм кражи криптовалюты. Аналогичные инциденты произошли с ботом audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, в котором пользователи невольно выполняли вредоносный код, что привело к потере их активов.

Злоумышленники внедрили свой вредоносный код в то, что казалось законным приложением с открытым исходным кодом, соблазняя пользователей запустить его. После активации программа была способна незаметно извлекать конфиденциальную информацию, в частности, закрытый ключ пользователя, из локального файла .env и передавать эти данные на сервер, контролируемый злоумышленником. Этот метод иллюстрирует распространенный вектор атаки, когда, казалось бы, безобидные приложения служат средством для вредоносных действий.

Чтобы лучше понять поведение этой вредоносной программы, команда SlowMist провела динамический анализ. В ходе этого процесса они модифицировали вредоносный код, чтобы перенаправить украденную информацию на контролируемый тестовый сервер. Для этого была создана пара ключей Solana для тестирования и изменен адрес сервера во вредоносном коде. Эксперимент подтвердил возможность кражи, поскольку тестовый сервер получил POST-запрос, содержащий закрытый ключ, иллюстрирующий, как вредоносная программа эффективно удаляет конфиденциальные данные.

Методы и стратегии, используемые злоумышленниками, указывают на значительные уязвимости в использовании проектов с открытым исходным кодом. Широко доступные инструменты могут быть использованы для совершения мошенничества и краж в криптовалютном пространстве, что подчеркивает необходимость бдительности пользователей при использовании таких проектов. Ключевые элементы функциональности вредоносного ПО были умело замаскированы под безобидно звучащие методы, такие как create_coingecko_proxy(), которые предполагали законные операции, такие как поиск цен, но скрывали скрытые мотивы кражи данных. Такая двойная функциональность усложняет обнаружение и повышает эффективность атаки. Таким образом, это служит напоминанием о постоянной важности осознания безопасности и принятия защитных мер при взаимодействии с блокчейн-технологиями.

#ParsedReport #CompletenessLow
28-07-2025

Phishing Campaign Imitating U.S. Department of Education (G5) BforeAI

https://bfore.ai/report/phishing-campaign-imitating-united-states-department-of-education-g5/

Report completeness: Low

Threats:
Cloaking_technique
Supply_chain_technique

Victims:
U.s. department of education, G5 grant portal, Education professionals, Grant administrators, Vendors tied to the u.s. department of education

Industry:
Government, Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078, T1114, T1189, T1192, T1204.002, T1556.006, T1566, T1584.001, have more...

IOCs:
Domain: 6
File: 2

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на портал грантов G5 Министерства образования США, использует похожие домены для кражи учетных данных для входа на поддельную страницу с использованием JavaScript и методов маскировки. Кампания создает риски кражи учетных данных, что может привести к мошенничеству и проблемам национальной безопасности.
-----

Была выявлена фишинговая кампания, нацеленная конкретно на портал грантов G5 Министерства образования США, который облегчает управление грантами и федеральным финансированием в сфере образования. В кампании используется несколько доменов-двойников, предназначенных для клонирования страницы входа в систему G5 с целью обмана пользователей, чтобы заставить их предоставить свои учетные данные для входа. Эта продолжающаяся деятельность вызывает особую обеспокоенность в связи с недавним объявлением о значительных сокращениях в Департаменте образования, что может повысить подверженность тактике социальной инженерии.

Обнаруженные вредоносные домены зарегистрированы в компании, известной своим строгим соблюдением правил, связанных со злоупотреблениями, и размещены в CDN Cloudflare, что повышает их защищенность и устойчивость к попыткам удаления. Эти домены имитируют визуальный дизайн и структуру официального портала G5, включая поддельную форму входа в систему, которая использует JavaScript для проверки учетных данных. Примечательно, что на фишинговой странице поле для входа в систему "чувствительно к регистру", чтобы создать иллюзию легитимности.

При взаимодействии с поддельным порталом данные пользователей передаются с помощью скрипта analytics.php, в то время как для создания видимости аутентичной регистрации используется асинхронный цикл updates.php. Мошеннические сайты также используют методы маскировки на основе браузера и манипулирования DOM, чтобы избежать обнаружения автоматическими сканерами. Кроме того, после предоставления учетных данных злоумышленники могут перенаправить жертву на вторичную конечную точку, что может облегчить дальнейшие попытки фишинга или обхода многофакторной аутентификации (MFA).

Последствия кражи учетных данных в результате этой фишинговой кампании серьезны, поскольку злоумышленники потенциально могут получить доступ к конфиденциальным данным о присуждении грантов, изменить платежные инструкции или выдать себя за получателей с целью совершения мошенничества. Атака также вызывает опасения по поводу национальной безопасности, учитывая потенциальную возможность того, что эти вторжения могут повлиять на федеральную инфраструктуру или быть использованы для атак на цепочки поставок.

Чтобы снизить риски, все выявленные домены были помечены и в настоящее время подвергаются сбоям. Индикаторы угроз были переданы в партнерские аналитические сети для отслеживания потенциального повторного использования вредоносных ресурсов. Управление Генерального инспектора Министерства образования было проинформировано о фишинговой кампании, чтобы помочь в более широких усилиях по защите и реагированию. Продолжается постоянный мониторинг для отслеживания и устранения любых будущих угроз, связанных с этой кампанией.

#ParsedReport #CompletenessLow
24-07-2025

A Spike in the Desert: How GreyNoise Uncovered a Global Pattern of VOIP-Based Telnet Attacks

https://www.greynoise.io/blog/how-greynoise-uncovered-global-pattern-voip-based-telnet-attacks

Report completeness: Low

Threats:
Mirai

Victims:
Small utilities, Isps

Industry:
Telco, Iot

Geo:
Mexico

ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1078.001, T1087, T1110.001, T1583.003

IOCs:
IP: 8780

Links:
https://github.com/GreyNoise-Intelligence/greynoise-mcp-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Концентрация вредоносных IP-адресов в Нью-Мексико была связана с активностью ботнета, которая в основном определялась по сигнатуре JA4t. Среди показателей были слабые учетные данные telnet и поведение, соответствующее вредоносному ПО Mirai, нацеленному на уязвимые устройства Интернета вещей и системы VOIP. Осознание этой проблемы привело к снижению вредоносного трафика.
-----

Недавний анализ выявил значительную концентрацию вредоносных IP-адресов, исходящих из небольшого района в Нью-Мексико, который, по-видимому, был задействован в ботнетической деятельности. Этот необычный трафик, охватывающий около 90 IP-адресов из сообщества, насчитывающего примерно 3000 жителей, был отследен до единственного интернет-провайдера (ISP). Примечательно, что на отличительную сигнатуру JA4t, а именно на 5840_2-4-8-1-3_1460_1, приходилось около 90% трафика от этого провайдера, что указывает на то, что скомпрометированные устройства, вероятно, имели схожие аппаратные конфигурации.

Расследование выявило множество признаков компрометации ботнета, включая попытки входа в telnet с использованием ненадежных учетных данных или учетных данных по умолчанию и необычно высокий объем сеансов. Наблюдаемое поведение при сканировании соответствовало известным вариантам ботнета Mirai, типа вредоносного ПО, известного тем, что оно использует устройства Интернета вещей. Кроме того, некоторые из выявленных IP-адресов были связаны с устройствами, поддерживающими VOIP, что позволяет предположить, что эти уязвимые системы, которые, вероятно, не получают надлежащего контроля безопасности, представляют собой более широкую категорию уязвимой инфраструктуры, предназначенной для операций ботнета.

Вскоре после того, как следственная группа поделилась предварительными выводами в социальных сетях, вредоносный трафик от утилиты New Mexico значительно сократился, что указывает на то, что разоблачение и осведомленность, возможно, повлияли на работу ботнета. Этот инцидент подчеркивает сохраняющуюся уязвимость систем VOIP и потенциальную возможность того, что небольшие коммунальные службы и интернет-провайдеры могут непреднамеренно внести свой вклад в инфраструктуру глобальных ботнетов, особенно тех, которые используют тактику Mirai, используя доступные системы в пределах своей досягаемости.

#ParsedReport #CompletenessHigh
23-07-2025

Understanding Current CastleLoader Campaigns

https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns

Report completeness: High

Threats:
Castleloader
Stealc
Redline_stealer
Deerstealer
Netsupportmanager_rat
Sectop_rat
Hijackloader
Clickfix_technique

Victims:
Government entities

Industry:
Government, Software_development

TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 3
Url: 1
Hash: 3
Domain: 2

Soft:
SQL Server Management Studio, Docker

Algorithms:
zip

Functions:
unsecuredCopyToClipboard, Get-Item, Set-Location

Languages:
powershell, php, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это вредоносная программа-загрузчик, использующая фишинговые технологии ClickFix, использующая имитацию доменов для обмана пользователей и принуждения их к выполнению вредоносных команд. После заражения устройства могут быть нацелены на похитителей информации и "крыс". Вредоносная программа использует гибкую платформу распространения, которая подключается к серверу C2 для дальнейшей доставки полезной нагрузки, использует веб-панель управления для оперативного контроля и извлекает выгоду из подробного анализа пользовательских данных для усиления будущих атак.
-----

В мире угроз все чаще доминирует вредоносная программа-загрузчик, известная как CastleLoader, которая появилась в начале 2025 года. Эта вредоносная программа использует фишинговые технологии ClickFix, используя домены, имитирующие законные приложения и библиотеки для разработки программного обеспечения, такие как тематические страницы Cloudflare, для обмана пользователей. Жертв заманивают на выполнение вредоносных команд, в результате чего они загружают вредоносное ПО, предназначенное для конкретной кампании, которое варьируется в зависимости от целей злоумышленников. Следовательно, зараженные устройства могут стать жертвой похитителей информации и троянских программ удаленного доступа (RAT), предоставляя злоумышленникам доступ к бэкдору для дальнейших эксплойтов.

В своей работе CastleLoader использует гибкую платформу распространения, способную предоставлять широкий спектр вредоносных программ. Каждая кампания распространения отличается друг от друга, но у них есть общий механизм распаковки и выполнения загруженных полезных файлов непосредственно в память в виде динамически подключаемых библиотек (DLL). Первоначальная вредоносная программа часто устанавливает соединение с сервером управления (C2), что облегчает поиск дополнительных вредоносных компонентов из различных источников, усложняя идентификацию и повышая устойчивость к контрмерам. В ходе недавних кампаний, в частности, было заражено более 400 критически важных объектов, включая многочисленные правительственные учреждения США.

Инфраструктура C2, связанная с CastleLoader, оснащена сложной веб-панелью управления, которая позволяет осуществлять всесторонний контроль за операциями вредоносного ПО. Эта панель поддерживает модель "вредоносное ПО как услуга" (MaaS), что подчеркивает организованный характер действий злоумышленников. Он отслеживает показатели заражения, управляет полезной нагрузкой от вредоносных программ и позволяет детально корректировать кампании на основе географического таргетинга и условий эксплуатации. Административные средства управления оптимизируют выполнение полезной нагрузки и управление ею, а расширенные функции, такие как автоматическое извлечение ZIP-файлов и повышение привилегий, обеспечивают повышенную операционную безопасность.

Кроме того, хакеры используют аналитические данные, полученные из URL-адресов вредоносных загрузчиков, регистрируя подробные пользовательские данные, такие как IP-адреса и строки пользовательского агента. Эти данные служат основой для будущих стратегий кампании, позволяя лучше настраивать вредоносную нагрузку. Возможность манипулировать трафиком и перенаправлять его еще больше помогает избежать обнаружения и повышает эффективность тактики фишинга.

CastleLoader, благодаря своей сложности в эксплуатации и развивающимся методам доставки, знаменует собой заметный сдвиг в среде хакеров, демонстрируя хорошо скоординированный и адаптивный подход хакеров. Поскольку в кампаниях используются как сложные технические механизмы, так и социальная инженерия, уровень заражения, превышающий 28% среди тех, кто перешел по вредоносным ссылкам, подчеркивает срочность разработки мер кибербезопасности для борьбы с этими динамичными угрозами.

#ParsedReport #CompletenessMedium
24-07-2025

Hybrid Analysis Blog: New Advanced Stealer (SHUYAL) Targets Credentials Across 19 Popular Browsers

https://hybrid-analysis.blogspot.com/2025/07/new-advanced-stealer-shuyal-targets.html

Report completeness: Medium

Threats:
Shuyal

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1056.001, T1057, T1070.004, T1071.001, T1074.001, T1082, T1113, T1115, have more...

IOCs:
Command: 1
File: 8
Hash: 1

Soft:
Chrome, Opera, OperaGx, Vivaldi, Chromium, Waterfox, Slimjet, Coccoc, Maxthon, 360browser, have more...

Algorithms:
zip, sha256, des

Win API:
CreatePipe, TerminateProcess, SHGetSpecialFolderPathA, CopyFileA, GetFileAttributesExW, CryptUnprotectData, OpenClipboard, GetClipboardData, GdiplusStartup, BitBlt, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SHUYAL - это сложная вредоносная программа-похититель, нацеленная на 19 браузеров и использующая передовые методы уклонения, такие как самоудаление и отключение диспетчера задач. Она собирает конфиденциальные данные, включая учетные данные браузера и токены Discord, и отправляет их через бота Telegram, сохраняя при этом скрытность с помощью методов сохранения и отслеживания журналов.
-----

Был проведен анализ нового усовершенствованного средства кражи данных, известного как "SHUYAL", которое демонстрирует значительные возможности для кражи учетных данных из широкого спектра 19 веб-браузеров, включая популярные опции, такие как Chrome, Brave, Edge, и браузеры, ориентированные на конфиденциальность, такие как Tor. Эта ранее недокументированная вредоносная программа использует передовые методы уклонения, включая возможность самоудаления и сложные механизмы, позволяющие избежать обнаружения, такие как отключение диспетчера задач Windows во время ее выполнения.

SHUYAL предназначен для проведения обширной разведки, сбора важной системной информации, такой как модели дисководов и серийные номера, а также сведений о периферийных устройствах ввода и конфигурациях мониторов. Вредоносная программа может удаленно извлекать данные, включая украденные учетные данные и другую конфиденциальную информацию, с помощью Telegram-бота и использует различные методы поиска данных. Примечательно, что она захватывает токены Discord вместе со скриншотами пользователей и содержимым буфера обмена, демонстрируя свой комплексный подход к краже данных.

Чтобы оставаться незаметным, SHUYAL использует процедуры самоудаления, которые стирают следы его деятельности, эффективно удаляя записи из баз данных браузера и любые файлы, созданные во время его работы. Его способность запускать несколько процессов позволяет ему эффективно выполнять разведывательные задачи, а также обеспечивает его выживание с помощью механизмов сохранения, таких как копирование в папку автозагрузки пользователя.

Для извлечения регистрационной информации из целевых браузеров используются специальные файлы, в которых хранятся учетные данные, и эти файлы впоследствии копируются для последующей фильтрации. Например, в ходе этого процесса файл регистрационных данных Chrome переименовывается в "chrome_Data.db". Вредоносная программа также создает файл журнала, в котором подробно описываются ее операции и целевые приложения.

Работоспособность SHUYAL обеспечивается за счет различных вызовов API, в том числе для создания снимков экрана и сжатия файлов в архивы для последующей фильтрации. Ключевые команды PowerShell используются для решения таких задач, как сжатие каталога "runtime", что позволяет вредоносному ПО эффективно упаковывать украденные данные.

#ParsedReport #CompletenessMedium
24-07-2025

Azure Front Door AiTM Phishing

https://www.aitm-feed.com/blog/azure-front-door-aitm-phishing

Report completeness: Medium

Threats:
Aitm_technique

Victims:
The world food programme, Unicef, Major swiss newspapers, U.s. department of state

Industry:
Foodtech

Geo:
France

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1071.001, T1102.002, T1140, T1204.001, T1518.001, T1539, T1557.002, T1566.002, have more...

IOCs:
Domain: 19
File: 5
IP: 4

Soft:
sendgrid, CryptoJS, Telegram

Algorithms:
base64, zip

Functions:
decodeURIComponent

Languages:
javascript

Platforms:
apple