#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это вредоносная программа-загрузчик, использующая фишинговые технологии ClickFix, использующая имитацию доменов для обмана пользователей и принуждения их к выполнению вредоносных команд. После заражения устройства могут быть нацелены на похитителей информации и "крыс". Вредоносная программа использует гибкую платформу распространения, которая подключается к серверу C2 для дальнейшей доставки полезной нагрузки, использует веб-панель управления для оперативного контроля и извлекает выгоду из подробного анализа пользовательских данных для усиления будущих атак.
-----

В мире угроз все чаще доминирует вредоносная программа-загрузчик, известная как CastleLoader, которая появилась в начале 2025 года. Эта вредоносная программа использует фишинговые технологии ClickFix, используя домены, имитирующие законные приложения и библиотеки для разработки программного обеспечения, такие как тематические страницы Cloudflare, для обмана пользователей. Жертв заманивают на выполнение вредоносных команд, в результате чего они загружают вредоносное ПО, предназначенное для конкретной кампании, которое варьируется в зависимости от целей злоумышленников. Следовательно, зараженные устройства могут стать жертвой похитителей информации и троянских программ удаленного доступа (RAT), предоставляя злоумышленникам доступ к бэкдору для дальнейших эксплойтов.

В своей работе CastleLoader использует гибкую платформу распространения, способную предоставлять широкий спектр вредоносных программ. Каждая кампания распространения отличается друг от друга, но у них есть общий механизм распаковки и выполнения загруженных полезных файлов непосредственно в память в виде динамически подключаемых библиотек (DLL). Первоначальная вредоносная программа часто устанавливает соединение с сервером управления (C2), что облегчает поиск дополнительных вредоносных компонентов из различных источников, усложняя идентификацию и повышая устойчивость к контрмерам. В ходе недавних кампаний, в частности, было заражено более 400 критически важных объектов, включая многочисленные правительственные учреждения США.

Инфраструктура C2, связанная с CastleLoader, оснащена сложной веб-панелью управления, которая позволяет осуществлять всесторонний контроль за операциями вредоносного ПО. Эта панель поддерживает модель "вредоносное ПО как услуга" (MaaS), что подчеркивает организованный характер действий злоумышленников. Он отслеживает показатели заражения, управляет полезной нагрузкой от вредоносных программ и позволяет детально корректировать кампании на основе географического таргетинга и условий эксплуатации. Административные средства управления оптимизируют выполнение полезной нагрузки и управление ею, а расширенные функции, такие как автоматическое извлечение ZIP-файлов и повышение привилегий, обеспечивают повышенную операционную безопасность.

Кроме того, хакеры используют аналитические данные, полученные из URL-адресов вредоносных загрузчиков, регистрируя подробные пользовательские данные, такие как IP-адреса и строки пользовательского агента. Эти данные служат основой для будущих стратегий кампании, позволяя лучше настраивать вредоносную нагрузку. Возможность манипулировать трафиком и перенаправлять его еще больше помогает избежать обнаружения и повышает эффективность тактики фишинга.

CastleLoader, благодаря своей сложности в эксплуатации и развивающимся методам доставки, знаменует собой заметный сдвиг в среде хакеров, демонстрируя хорошо скоординированный и адаптивный подход хакеров. Поскольку в кампаниях используются как сложные технические механизмы, так и социальная инженерия, уровень заражения, превышающий 28% среди тех, кто перешел по вредоносным ссылкам, подчеркивает срочность разработки мер кибербезопасности для борьбы с этими динамичными угрозами.

#ParsedReport #CompletenessMedium
24-07-2025

Hybrid Analysis Blog: New Advanced Stealer (SHUYAL) Targets Credentials Across 19 Popular Browsers

https://hybrid-analysis.blogspot.com/2025/07/new-advanced-stealer-shuyal-targets.html

Report completeness: Medium

Threats:
Shuyal

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1056.001, T1057, T1070.004, T1071.001, T1074.001, T1082, T1113, T1115, have more...

IOCs:
Command: 1
File: 8
Hash: 1

Soft:
Chrome, Opera, OperaGx, Vivaldi, Chromium, Waterfox, Slimjet, Coccoc, Maxthon, 360browser, have more...

Algorithms:
zip, sha256, des

Win API:
CreatePipe, TerminateProcess, SHGetSpecialFolderPathA, CopyFileA, GetFileAttributesExW, CryptUnprotectData, OpenClipboard, GetClipboardData, GdiplusStartup, BitBlt, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SHUYAL - это сложная вредоносная программа-похититель, нацеленная на 19 браузеров и использующая передовые методы уклонения, такие как самоудаление и отключение диспетчера задач. Она собирает конфиденциальные данные, включая учетные данные браузера и токены Discord, и отправляет их через бота Telegram, сохраняя при этом скрытность с помощью методов сохранения и отслеживания журналов.
-----

Был проведен анализ нового усовершенствованного средства кражи данных, известного как "SHUYAL", которое демонстрирует значительные возможности для кражи учетных данных из широкого спектра 19 веб-браузеров, включая популярные опции, такие как Chrome, Brave, Edge, и браузеры, ориентированные на конфиденциальность, такие как Tor. Эта ранее недокументированная вредоносная программа использует передовые методы уклонения, включая возможность самоудаления и сложные механизмы, позволяющие избежать обнаружения, такие как отключение диспетчера задач Windows во время ее выполнения.

SHUYAL предназначен для проведения обширной разведки, сбора важной системной информации, такой как модели дисководов и серийные номера, а также сведений о периферийных устройствах ввода и конфигурациях мониторов. Вредоносная программа может удаленно извлекать данные, включая украденные учетные данные и другую конфиденциальную информацию, с помощью Telegram-бота и использует различные методы поиска данных. Примечательно, что она захватывает токены Discord вместе со скриншотами пользователей и содержимым буфера обмена, демонстрируя свой комплексный подход к краже данных.

Чтобы оставаться незаметным, SHUYAL использует процедуры самоудаления, которые стирают следы его деятельности, эффективно удаляя записи из баз данных браузера и любые файлы, созданные во время его работы. Его способность запускать несколько процессов позволяет ему эффективно выполнять разведывательные задачи, а также обеспечивает его выживание с помощью механизмов сохранения, таких как копирование в папку автозагрузки пользователя.

Для извлечения регистрационной информации из целевых браузеров используются специальные файлы, в которых хранятся учетные данные, и эти файлы впоследствии копируются для последующей фильтрации. Например, в ходе этого процесса файл регистрационных данных Chrome переименовывается в "chrome_Data.db". Вредоносная программа также создает файл журнала, в котором подробно описываются ее операции и целевые приложения.

Работоспособность SHUYAL обеспечивается за счет различных вызовов API, в том числе для создания снимков экрана и сжатия файлов в архивы для последующей фильтрации. Ключевые команды PowerShell используются для решения таких задач, как сжатие каталога "runtime", что позволяет вредоносному ПО эффективно упаковывать украденные данные.

#ParsedReport #CompletenessMedium
24-07-2025

Azure Front Door AiTM Phishing

https://www.aitm-feed.com/blog/azure-front-door-aitm-phishing

Report completeness: Medium

Threats:
Aitm_technique

Victims:
The world food programme, Unicef, Major swiss newspapers, U.s. department of state

Industry:
Foodtech

Geo:
France

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1071.001, T1102.002, T1140, T1204.001, T1518.001, T1539, T1557.002, T1566.002, have more...

IOCs:
Domain: 19
File: 5
IP: 4

Soft:
sendgrid, CryptoJS, Telegram

Algorithms:
base64, zip

Functions:
decodeURIComponent

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сложной фишинговой кампании Microsoft Azure Front Door используется для проведения промежуточных атак, нацеленных на крупные организации. В ней используются передовые методы обфускации и перенаправления, несколько промежуточных доменов и динамические обновления контента, позволяющие избежать обнаружения и управлять отправкой данных, включая многофакторную аутентификацию.
-----

В ходе недавнего расследования была обнаружена сложная фишинговая инфраструктура, использующая службу Microsoft Azure Front Door для проведения атак с использованием промежуточного контрагента (AiTM). Эту схему особенно сложно обнаружить из-за использования законных доменов Microsoft и умело организованных цепочек перенаправления, которые скрывают намерения фишинга. Эта кампания направлена на громкие организации, в том числе и Всемирная продовольственная программа, ЮНИСЕФ, крупных швейцарских газет и адресов электронной почты США state.gov , что делает его заметным опасным.

Фишинговая инфраструктура разделена на два основных компонента, называемых Инфраструктурой 1 и инфраструктурой 2. Обе они демонстрируют высокий уровень сложности и схожую полезную нагрузку от фишинга, но отличаются механикой перенаправления и тактикой обфускации. В инфраструктуре 1 используется более продвинутая система обфускации, использующая несколько перенаправлений (обычно от 6 до 7), прежде чем попасть на конечную фишинговую страницу. Она запускается с ранее законного веб-сайта, ritba.org который генерирует хэш для операций на стороне клиента. Этот хэш сохраняется в URL-адресе до тех пор, пока код состояния не укажет на окончание перенаправления. Поскольку пользователи проходят через сайты-посредники, хэш остается недоступным для этих сайтов и используется JavaScript только на более поздних этапах процесса.

Цепочка перенаправлений включает в себя различные домены для сбора телеметрии, такие как sophos.com и awstrack.me, прежде чем перенаправить пользователя на адреса входа в Azure, где происходит расшифровка хэша. На последней фишинговой странице используются сложные уровни обфускации, включая методы кодирования и шифрования с помощью библиотеки CryptoJS. Страница динамически обновляет содержимое на основе пользовательского ввода без перезагрузки, что позволяет ей работать незаметно, не запуская обычные механизмы обнаружения.

Кроме того, фишинговая страница объединяет динамические элементы, которые могут управлять различными типами отправки данных, включая комбинации электронной почты и паролей и многофакторную аутентификацию. Она блокирует известные методы создания отчетов, предотвращая использование определенных доменов электронной почты, и использует множество методов, препятствующих обратному проектированию. К ним относятся запутывание имен переменных, предотвращение доступа при щелчке правой кнопкой мыши и использование строк в шестнадцатеричном коде для дальнейшего усложнения процесса расшифровки.

Эта продвинутая фишинговая кампания демонстрирует эволюцию тактики злоумышленников, указывая на растущую тенденцию повторного использования сложных кодовых баз в различных системах, повышая их устойчивость к обнаружению и автоматизации. Поскольку эти фишинговые схемы продолжают развиваться, понимание их операционных механизмов становится критически важным для защиты кибербезопасности от возникающих угроз.

#ParsedReport #CompletenessLow
29-07-2025

Geopolitical game under the tariff stick: APT organization targets the China-Africa community with a shared future

https://www.ctfiot.com/262515.html

Report completeness: Low

Threats:
Supply_chain_technique
Harpoon_technique

Industry:
Government

Geo:
Asian, Africa, China

ChatGPT TTPs:
do not use without manual check
T1195, T1566.001, T1566.002, T1620

IOCs:
Path: 1
File: 1
Hash: 2

Soft:
WeChat

Algorithms:
md5

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хайлян, хакер, занимающийся кибершпионажем, нацелился на страны Юго-Восточной Азии с помощью сложной атаки на цепочки поставок и низкоуровневого фишинга, чтобы собрать информацию о торговой политике и сотрудничестве. Их тактика включает в себя методы загрузки данных из памяти, использующие известные уязвимости, что подчеркивает необходимость усиления мер кибербезопасности.
-----

В контексте растущей геополитической напряженности организация Hailian стала заметным хакером, занимающимся изощренным кибершпионажем, нацеленным на страны Юго-Восточной Азии. В первой половине 2025 года компания Hailian осуществила атаку на цепочку поставок высокого уровня, направленную на внутреннюю систему и платформу win в стране Юго-Восточной Азии, используя это вторжение для сбора разведданных о внешнеторговой политике, влияющей на национальный 15-й пятилетний план. Эта операция подчеркнула настоятельную необходимость для целевой страны противодействовать давлению, вызванному как сокращением экспорта, так и необходимостью пересмотра цепочки поставок в связи с возобновлением тарифной напряженности, инициированной Соединенными Штатами.

Параллельно компания Hailian приняла стратегию расширения своей деятельности за пределы Азии, нацелившись на инициативы по сбору разведывательной информации в Африке. Используя фишинговые атаки низкого уровня, в частности, с помощью электронных писем harpoon, адресованных подразделениям по сотрудничеству между Китаем и Африкой, Хайлян стремился получить важную информацию о сотрудничестве, которая могла бы способствовать дипломатическому прогрессу и послужить основой для будущих взаимодействий в регионе. Этот агрессивный кибершпионаж отражает более широкую тенденцию, когда страны адаптируют свои экономические стратегии для диверсификации цепочек поставок в условиях геополитической нестабильности.

Активные действия организации подчеркивают важность надежных мер кибербезопасности как в государственном, так и в частном секторах. Внедрение передовых решений для защиты от угроз, таких как система Tianqing, дополненная движком "Liuhe", имеет решающее значение для перехвата вредоносных вложений и противодействия настойчивым хакерам. Вредоносная нагрузка, связанная с операциями Hailian, включает в себя методы загрузки памяти, предназначенные для использования ранее выявленных уязвимостей, - метод, который требует постоянной бдительности и обновления средств защиты для снижения рисков, создаваемых развивающимися хакерами, такими как Hailian. Поскольку геополитический ландшафт продолжает меняться, понимание этих хакеров и борьба с ними будут иметь жизненно важное значение для поддержания национальной и организационной безопасности.

#ParsedReport #CompletenessMedium
29-07-2025

Oyster Backdoor: The Malvertising Menace Masquerading as Popular Tools

https://www.cyberproof.com/blog/oyster-backdoor-the-malvertising-menace-masquerading-as-popular-tools/

Report completeness: Medium

Threats:
Oyster
Seo_poisoning_technique
Putty_tool
Rhysida
Screenconnect_tool

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1053.005, T1059.003, T1082, T1105, T1189, T1195.001, T1218.011, T1569.002, have more...

IOCs:
Hash: 4
File: 2
Domain: 5
IP: 2

Soft:
WinSCP, Google Chrome, Microsoft Teams, FireFox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Oyster, распространяемый посредством SEO-атак и маскирующийся под легальное программное обеспечение, обеспечивает удаленный доступ для киберпреступников. Он может красть данные и устанавливать дополнительные вредоносные программы, обеспечивая постоянство с помощью запланированных задач.
-----

В начале июня 2025 года вредоносный бэкдор, известный как Oyster, также известный как Broomstick или CleanupLoader, был распространен с помощью тактики SEO-отравления, маскируясь под легальное программное обеспечение, такое как PuTTY, KeyPass и WinSCP. Этот бэкдор стал известной угрозой как минимум с 2023 года, в первую очередь он нацелен на то, чтобы пользователи загружали обманчивые установщики для широко используемых приложений, таких как Google Chrome и Microsoft Teams. Черный ход Oyster особенно важен, поскольку он облегчает заражение программами-вымогателями, например, теми, которые связаны с группой программ-вымогателей Rhysida.

Примечательный инцидент произошел в июле 2025 года, когда пользователь случайно загрузил зараженный установщик, выдававший себя за приложение PuTTY. Хотя бэкдор в конечном итоге был обнаружен и заблокирован, анализ показал, что злоумышленник не производил прямых манипуляций со взломанной системой. В отчете подробно описываются технические аспекты атаки, особое внимание уделяется цепочке убийств, связанной с бэкдором Oyster.

Как только Oyster проникает в систему — как правило, с помощью поддельных установщиков, получаемых с помощью SEO—оптимизации или вредоносной рекламы, - бэкдор Oyster предоставляет киберпреступникам удаленный доступ. Он предназначен для сбора системной информации, кражи учетных данных, выполнения команд и загрузки дополнительных вредоносных программ. Чтобы сохранить свое присутствие на зараженной машине, бэкдор устанавливает запланированные задачи, которые обеспечивают его работу. В этом задокументированном случае аналитики CyberProof Security Operations Center (SOC) определили, что пользователь, скорее всего, загрузил вредоносный установщик с определенного удаленного URL-адреса, и отметили рост числа отозванных сертификатов, используемых в вредоносных кампаниях.

Анализ журналов веб-прокси-серверов показал, что поиск, инициированный пользователем, мог привести к появлению дополнительных вредоносных ссылок, предназначенных для распространения вредоносных программ, что привело к дальнейшим попыткам SEO-заражения. После запуска вредоносного установщика бэкдор развернет вредоносный DLL-файл, что подтверждается следующим процессом rundll32.exe.

Бэкдор Oyster устанавливает постоянство с помощью запланированной задачи с надписью "FireFox Agent INC", которая настроена на выполнение каждые три минуты. Этот механизм использует вредоносную библиотеку DLL (с именем zqin.dll) через платформу rundll32.exe, чтобы обеспечить ее постоянное присутствие в скомпрометированной системе. Этот случай подчеркивает постоянную эволюцию и изощренность методов распространения вредоносных программ и необходимость принятия надежных мер безопасности для борьбы с такими угрозами.

#ParsedReport #CompletenessLow
29-07-2025

Atomic Stealer Evolves

https://blog.polyswarm.io/atomic-stealer-evolves

Report completeness: Low

Threats:
Amos_stealer
Spear-phishing_technique

Geo:
North korean, Italy, Canada, United kingdom, Russia, France

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056.001, T1059.002, T1071.001, T1098, T1547.015, T1566.001

IOCs:
Hash: 6

Soft:
macos

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа AMOS имеет бэкдор для постоянного доступа после перезагрузки и нацелена на владельцев криптовалют с помощью фишинга и взломанных сайтов с программным обеспечением. Она использует такие методы, как троянизация DMG, и устанавливает LaunchDaemon для запуска, с подключением C2 каждые 60 секунд. AMOS, ориентированный на долгосрочное сохранение, позволяет вести кейлоггинг и наблюдение, сохраняя при этом скрытность благодаря проверке окружающей среды и обфускации.
-----

Вредоносная программа под названием AMOS была обновлена и теперь включает в себя бэкдор, обеспечивающий постоянный доступ, который сохраняется после перезагрузки системы и позволяет удаленно выполнять задачи. Распространение этой вредоносной программы в основном нацелено на владельцев криптовалют и фрилансеров по двум основным направлениям: фишинговые атаки и веб-сайты, предлагающие взломанное программное обеспечение. Эта кампания охватила более 120 стран, оказав значительное влияние на Соединенные Штаты, Великобританию, Францию, Италию и Канаду.

AMOS использует изощренные методы фишинга, которые часто маскируются под приглашения на собеседование, и обманом заставляет жертв запускать троянские файлы DMG, вводя их в заблуждение, чтобы они предоставили системные пароли, необходимые для программного обеспечения для совместного использования экрана. После запуска AMOS способен извлекать конфиденциальные данные, такие как пароли и начальные фразы криптовалюты. Его механизм бэкдора использует двоичный файл с именем ".helper", хранящийся как скрытый файл в домашнем каталоге жертвы, и сценарий-оболочку с именем ".agent", который обеспечивает непрерывное выполнение бэкдора.

Чтобы обеспечить постоянство, AMOS устанавливает LaunchDaemon, идентифицированный как "com.finder.helper", с помощью AppleScript, гарантируя, что он запускается при запуске системы с повышенными привилегиями, полученными с помощью украденных учетных данных пользователя. Связь с серверами управления (C2) осуществляется каждые 60 секунд посредством HTTP POST-запросов для получения команд. Чтобы избежать обнаружения, AMOS использует такие методы, как обфускация строк и проверка виртуализированных сред с помощью команды "system_profiler", что еще больше повышает скрытность при анализе.

Эволюция AMOS привела ее в соответствие с тактикой, применяемой в кампаниях, связанных с Северной Кореей, которые обычно сочетают в себе кражу данных с использованием бэкдоров для более быстрого извлечения данных. Однако AMOS, разработанный аффилированными с Россией компаниями, по-видимому, ориентирован на долгосрочное функционирование, обеспечивая возможности наблюдения, ведения кейлоггинга и потенциального перемещения по скомпрометированным сетям. Ожидается, что в рамках модели "Вредоносное ПО как услуга" (MaaS) будут внесены дальнейшие усовершенствования, включая разработку функций кейлоггинга.

Возможности AMOS для пользователей macOS значительны, поскольку они превосходят традиционные функции infostealer, что указывает на риски длительной компрометации. Постоянное развитие этой угрозы подчеркивает необходимость упреждающего информирования и усовершенствованной защиты конечных точек для защиты систем macOS от этой постоянной и растущей угрозы.

#ParsedReport #CompletenessLow
29-07-2025

Gunra Ransomware Group Unveils Efficient Linux Variant

https://www.trendmicro.com/en_us/research/25/g/gunra-ransomware-linux-variant.html

Report completeness: Low

Threats:
Gunra
Conti
Bert_ransomware

Industry:
Government, Foodtech, Transport, Healthcare

Geo:
Japan, Turkiye, Brazil, Canada, Korea, Taiwan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1486, T1567

Soft:
Linux

Algorithms:
chacha20

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Gunra представила версию для Linux, способную запускать 100 потоков шифрования, что повышает эффективность ее атаки. Она поддерживает частичное шифрование, хранит ключи RSA отдельно и использует гибридный метод шифрования с использованием RSA и ChaCha20, не отправляя уведомление о требовании выкупа.
-----

Программа-вымогатель Gunra эволюционировала с появлением версии для Linux, демонстрируя стратегический сдвиг в сторону кросс-платформенного таргетинга, что позволяет ей расширить возможности для атаки. Было замечено, что этот вариант позволяет параллельно запускать до 100 потоков шифрования, что значительно увеличивает его эксплуатационные возможности по сравнению с другими версиями программ-вымогателей, которые обычно имеют фиксированные или более низкие ограничения на количество одновременных потоков. Примечательно, что версия Linux поддерживает частичное шифрование, что дает злоумышленникам контроль над тем, какая часть файла зашифрована, и позволяет им хранить ключи, зашифрованные с помощью RSA, в отдельных файлах хранилища ключей.

С момента своего появления в апреле 2025 года программа-вымогатель Gunra стала мишенью для множества предприятий в разных странах, включая Бразилию, Японию, Канаду, Турцию, Южную Корею, Тайвань и Соединенные Штаты, причем жертвами стали представители таких отраслей, как здравоохранение, производство, информационные технологии и юриспруденция. Его оперативная тактика была вдохновлена известными группами вымогателей, такими как Conti, и привлекла к себе внимание в связи со значительной утечкой данных, связанной с больницей в Дубае, где произошла утечка 40 терабайт данных.

При запуске Linux-вариант Gunra требует ввода ряда аргументов во время выполнения, отображения журналов на консоли и запроса любых недостающих данных, прежде чем продолжить. Он включает в себя механизм настройки количества потоков шифрования, ограниченного 100, и создает цикл ожидания, чтобы убедиться, что все потоки завершены до его завершения. Эта операционная модель раскрывает сложный подход к шифрованию файлов, при котором программа-вымогатель проверяет выполнение задач шифрования каждые 10 миллисекунд. Она использует функцию spawn_or_wait_thread для управления одновременным шифрованием файлов.

Программа-вымогатель шифрует файлы на основе определенных путей и расширений, настроенных во время выполнения. Если задано значение "все", программа-вымогатель зашифрует все обнаруженные файлы; в противном случае она ограничит свое внимание теми, которые соответствуют заданному списку расширений. Он выполняет рекурсивное сканирование каталогов и предотвращает повторное шифрование, проверяя существующие расширения файлов. Интересно, что версия Linux не отправляет сообщение о требовании выкупа, что отличается от типичного поведения программ-вымогателей.

Gunra использует гибридную стратегию шифрования, сочетающую RSA и ChaCha20. Во время выполнения ей требуется путь к файлу PEM, содержащему открытый ключ RSA, что позволяет генерировать необходимые криптографические материалы, включая случайные ключи и дополнительные данные. При настройке функции хранения программа-вымогатель может сохранять данные, зашифрованные с помощью RSA, в отдельных файлах хранилища ключей, улучшая свою стратегию управления шифрованием. Такая подробная техническая архитектура означает заметное расширение возможностей вредоносного ПО.

#ParsedReport #CompletenessLow
28-07-2025

XWorm V6: Advanced Evasion and AMSI Bypass Capabilities Revealed

https://www.netskope.com/blog/xworm-v6-0-enhanced-malware-protection-and-stealthy-delivery

Report completeness: Low

Threats:
Amsi_bypass_technique
Xworm_rat
Asyncrat
Obfdldr

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1059.005, T1105, T1497.001, T1497.003, T1547.001, T1562.001, have more...

IOCs:
File: 7

Algorithms:
base64

Win API:
GetCurrentProcess, AmsiScanBuffer, SeDebugPrivilege

Languages:
powershell

Links:
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/XWorm/IOCs/2025-07-25
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell?tab=readme-ov-file#Patching-Clr
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/AsyncRAT-C%23/Client/Helper/Anti\_Analysis.cs