#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году OceanLotus (APT10) осуществлял кибершпионаж с помощью атак на цепочки поставок в Юго-Восточной Азии, используя методы загрузки в память троянской программы на базе Rust и проводя фишинговые кампании, нацеленные на китайско-африканское сотрудничество. Это отражает их стратегию сбора разведданных в условиях растущей напряженности в торговле между США и Китаем.
-----

В 2025 году группа OceanLotus, также известная как APT10, занялась кибершпионажем, сосредоточившись на атаках на цепочки поставок, нацеленных на ключевые платформы и системы в Юго-Восточной Азии, на фоне обострения торговой напряженности между регионом и Соединенными Штатами. Эта группа пыталась собрать разведданные о внутренних системах и извлечь информацию, связанную с Пятнадцатым пятилетним планом Китая, в частности, о стратегиях, которые могли бы уменьшить дисбаланс в торговле с США.

Используя эти кибероперации в качестве предвестника политических и экономических маневров, OceanLotus специально инициировала кампании по борьбе с фишингом низкого уровня, направленные против организаций, участвующих в китайско-африканском сотрудничестве. Эта стратегия, вероятно, является частью более широких усилий по сбору данных, которые послужат основой для дипломатических инициатив и экономических стратегий в Африке, что отражает смещение акцентов в некоторых странах Юго-Восточной Азии по мере диверсификации их торговли и цепочки поставок.

Что касается поведения вредоносного ПО, то в отчете указывается, что OceanLotus group использовала технологию загрузки в память, связанную с существующим троянцем на базе Rust, что облегчает выполнение вредоносного кода, не оставляя существенных следов. Этот метод предполагает глубокое понимание тактики уклонения, что позволяет группе оставаться незаметной при выполнении своих операций по кибер-цепочке поставок.

Организациям, обеспокоенным этими угрозами, рекомендуется внедрять специальные решения для обеспечения безопасности, способные блокировать вредоносные вложения, особенно те, которые связаны с такими сложными кампаниями. Акцент на использовании передовых механизмов защиты от угроз подчеркивает необходимость принятия упреждающих мер кибербезопасности во все более враждебной киберпространстве, особенно в условиях, когда геополитическая напряженность выливается в тактику ведения кибервойн.

#ParsedReport #CompletenessHigh
29-07-2025

Who is TraderTraitor?

https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist

Report completeness: High

Actors/Campaigns:
Tradertraitor (motivation: cyber_espionage, cyber_criminal, financially_motivated)
Bluenoroff
Lazarus (motivation: financially_motivated, cyber_espionage)
Ta444
Dream_job

Threats:
Supply_chain_technique
Jump_cloud_tool
Rn_stealer
Spear-phishing_technique
Volgmer
Rn_loader
Gophergrabber
Go-stealer
Golangghost
Clickfix_technique
Threatneedle
Agamemnon
Wagent
Signbt
Copperhedge
Tiedye
Typosquatting_technique

Victims:
Bybit, Dmm bitcoin, Jumpcloud, Ginco, Safewallet, Ronin network, Axie infinity, Wazirx

Industry:
Software_development, Financial, Government

Geo:
Korea, North korean, Indian, North korea, Korean, Japan, Japanese

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 1
Domain: 1

Soft:
Slack, Telegram, Node.js, Docker, macOS, Innorix Agent, Electron, Discord

Wallets:
bybit

Crypto:
bitcoin, axie_infinity

Algorithms:
rc4, aes-256, md5

Languages:
javascript, python

Platforms:
cross-platform, apple

Links:
https://github.com/wiz-sec-public/wiz-research-iocs

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TraderTraitor, северокорейская APT-группа, нацелена на криптовалютный сектор, используя сложные методы, такие как фишинг и троянские приложения, для облегчения краж, включая взлом Bybit на сумму 1,5 миллиарда долларов. Их методы включают использование облачных сервисов и вредоносных обновлений, уделяя особое внимание быстрым атакам и сбору данных с помощью вредоносных программ, таких как RN Stealer, что создает значительные риски для криптоорганизаций.
-----

TraderTraitor представляет собой группу кибератак, спонсируемых северокорейским государством, организованных группами APT (АПТ), включая Lazarus Group, APT38 и другие. Эта операция в первую очередь имеет финансовую подоплеку, в частности, нацелена на криптовалютную и блокчейн-экосистему для финансирования государственных программ Северной Кореи в условиях жестких санкций. Агентства США, включая ФБР и CISA, связали TraderTraitor со значительными хищениями криптовалюты, такими как взлом биткоин-биржи DMM на 308 миллионов долларов и взлом системы обмена криптовалют на 1,5 миллиарда долларов. Криптобиржа Bybit.

Деятельность TraderTraitor характеризуется использованием сложных методов, включая социальную инженерию, троянские приложения и взлом цепочки поставок. Например, группа использует тактику фишинга под видом предложений о работе, нацеленных на сотрудников, занимающих должности, связанные с криптографией, для развертывания вредоносных приложений, которые кажутся функциональными. Эти троянские приложения используют уязвимости, маскируясь под законные криптографические инструменты, обеспечивая при этом полезную нагрузку, такую как троянский вирус удаленного доступа MANUSCRYPT, который позволяет красть конфиденциальную информацию и учетные данные криптовалюты.

Компания TraderTraitor известна своим акцентом на атаки, ориентированные на облако, когда вместо прямого компрометации облачных провайдеров группа атакует компании, зависящие от этих сервисов. Примером такой тактики является взлом платформы JumpCloud в июле 2023 года, когда TraderTraitor использовал скомпрометированного поставщика для распространения вредоносных обновлений, которые затронули нижестоящие криптовалютные компании. Продолжая демонстрировать свои возможности, TraderTraitor использовали общедоступные хранилища программного обеспечения для вредоносной деятельности, проникая в среды на базе GitHub для внедрения скомпрометированных пакетов, предназначенных для разработчиков в секторе финансовых технологий.

Методы злоумышленников эволюционировали, в частности, проявилась тенденция к быстрому хищению и манипулированию законными транзакциями; в некоторых случаях атаки осуществляются в течение нескольких дней после первоначального взлома. Проникновение в среду Safe{Wallet}, приведшее к взлому Bybit, отражает этот стремительный прогресс, поскольку злоумышленники злоупотребляли украденными учетными данными для доступа к облаку, чтобы изменять функциональность веб-приложений и перехватывать криптовалютные транзакции в режиме реального времени.

Что касается конкретных методологий, то операции TraderTraitor включали использование проблем с неправильным кодированием, чтобы побудить разработчиков к выполнению вредоносных скриптов, что открывало пути для дальнейшего проникновения. Вредоносное ПО, такое как RN Stealer, специально разработано для сбора конфиденциальных данных, включая облачные конфигурации и учетные данные пользователя, что позволяет осуществлять широкое перемещение в скомпрометированных средах.

Используя сложные методы разведки и используя поставщиков облачных услуг в качестве точек входа, TraderTraitor продемонстрировал значительный набор навыков в сочетании тактики национального государства с тактикой, типичной для киберпреступников. Их деятельность представляет значительный риск для организаций в секторе криптовалют и подчеркивает важность строгих мер безопасности для противодействия этим изощренным хакерам.

#ParsedReport #CompletenessLow
29-07-2025

Comprehensive analysis of ArmouryLoader loader - - Typical loader family series analysis 5

https://www.4hou.com/posts/xyE9

Report completeness: Low

Threats:
Armouryloader
Smokeloader
Coffeeloader
Hijackloader
Shipcome
Spybind
Trojan/win32.armouryloader-

Geo:
China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1055, T1059.003, T1070.004, T1140, T1204.002, T1218.011, T1484.001, T1547.001, have more...

IOCs:
File: 10
Hash: 2

Soft:
WeChat

Algorithms:
xor, md5

Functions:
in, GetDeviceIndex, Certificate-related

Win API:
GetModuleHandleW

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ArmouryLoader, обнаруженный в 2024 году, представляет собой сложный вредоносный загрузчик, который использует программное обеспечение Asus Armoury Crate, используя передовые методы обфускации и обхода, включая OpenCL для расшифровки полезной нагрузки. Он включает в себя несколько этапов развертывания и сохранения вредоносного ПО, а также использует тактику контроля памяти и маскировки действий.
-----

Antian CERT предоставил информацию об изменяющемся ландшафте угроз, связанных с вредоносными программами, уделив особое внимание ArmouryLoader. Этот загрузчик отличается своими возможностями не только по развертыванию различных типов вредоносных программ, но и по обходу мер обнаружения и безопасности. Первоначально разработанный в 2024 году, ArmouryLoader работает за счет использования экспортных функций программного обеспечения Asus Armoury Crate system management, которое определяет его название и функциональность.

Загрузчик демонстрирует надежные механизмы сохранения, обфускации и обхода. Он включает в себя восемь рабочих этапов, каждый из которых зависит от выполнения независимых задач; первый, третий, пятый и седьмой этапы в основном связаны с выполнением вредоносных действий, в то время как промежуточные этапы облегчают загрузку полезной нагрузки. Например, на этапе загрузки ArmouryLoader использует OpenCL для расшифровки вредоносной полезной нагрузки, для чего требуется специальное оборудование, такое как графический процессор или 32-разрядный центральный процессор, чтобы избежать дальнейшего обнаружения, особенно в изолированных средах.

ArmouryLoader использует передовые методы обфускации, включая внедрение лишних инструкций и самоподшифровывающийся код. В его методе расшифровки используется OpenCL, что значительно усложняет статический анализ. Загрузчик также реализует сложные тактические приемы для поддержания постоянства, такие как использование запланированных задач и изменение атрибутов файлов для предотвращения несанкционированных модификаций или удалений.

Значительная часть его работы связана с управлением памятью для чтения конфиденциальных данных с помощью легальных библиотек DLL, умело маскируя свою деятельность путем подделки стека вызовов, тем самым снижая риск обнаружения решениями endpoint security. Кроме того, при предоставлении полезной нагрузки, такой как SmokeLoader и CoffeeLoader, ArmouryLoader способен перехватывать основные процессы для выполнения шеллкода, что еще больше улучшает его методы обфускации.

Технологически ArmouryLoader использует собственную технологию "Gate of Heaven" для выполнения 64-разрядного кода уникальным образом, минуя обычные перехватчики функций. Это помогает ему маскировать свои операции и обходить системы безопасности, что значительно усложняет обнаружение угроз.

В ответ на эти передовые технологии решения для обеспечения безопасности, такие как Antian Zhijia, активно отслеживают присутствие ArmouryLoader, выявляя шаблоны и поведение, связанные с вредоносной активностью. Инструмент использует мониторинг в режиме реального времени и автоматическое обнаружение для анализа взаимодействия с файлами и предотвращения распространения потенциальных инфекций, когда такие загрузчики доставляются различными способами, включая вложения в электронную почту и загруженные файлы.

#ParsedReport #CompletenessMedium
29-07-2025

RedHook: A New Android Banking Trojan Targeting Users in Vietnam

https://cyble.com/blog/redhook-new-android-banking-targeting-in-vietnam/

Report completeness: Medium

Threats:
Redhook

Victims:
Financial institutions, Government entities, Individual users

Industry:
Financial, Government

Geo:
Indonesian, Vietnamese, Vietnam, Chinese

TTPs:
Tactics: 7
Technics: 12

IOCs:
Domain: 6
Url: 4
Hash: 9

Soft:
Android

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RedHook - это банковский троян для Android, нацеленный на вьетнамских пользователей и использующий фишинг для выдачи себя за доверенные учреждения. Он собирает конфиденциальные данные через API MediaProjection, использует сервер управления в режиме реального времени и имеет низкий уровень обнаружения, что указывает на передовые методы уклонения. Вредоносная программа связана с китайскоязычным хакером и эволюционирует от традиционного мошенничества к изощренной финансовой краже.
-----

RedHook - это продвинутый банковский троян для Android, который специально нацелен на вьетнамских пользователей, используя тактику фишинга. Он маскируется под законные приложения от надежных финансовых и правительственных учреждений, вступая в контакт через мошеннический веб-сайт, который выдает себя за Государственный банк Вьетнама. Это вредоносное ПО, обнаруженное Cyble Research and Intelligence Labs (CRIL), обладает способностью выполнять различные вредоносные действия удаленно, управляя скомпрометированными устройствами через сервер управления (C2) через WebSocket.

После установки RedHook использует ряд методов для получения конфиденциальной информации. Он предлагает пользователям включить специальные возможности и разрешения на наложение, что позволяет троянцу захватывать содержимое экрана через Android MediaProjection API. Вредоносная программа взаимодействует с сервером C2 в режиме реального времени, поддерживая в общей сложности 34 команды, которые облегчают удаленное управление зараженными устройствами, включая такие задачи, как сбор SMS-сообщений, выполнение автоматизированных задач и захват скриншотов.

RedHook демонстрирует низкий уровень обнаружения антивирусным программным обеспечением, что значительно усиливает его скрытное присутствие в хакерской среде. Он собирает конфиденциальные данные с помощью серии тщательно продуманных фишинговых действий, сначала предлагая пользователям загрузить изображения своих документов, удостоверяющих личность, а затем запрашивая банковские реквизиты, такие как номера счетов и пароли. Интерфейс, используемый для этих попыток фишинга, даже переведен на индонезийский язык, что указывает на потенциальное повторное использование шаблонов для различных целевых аудиторий.

Кроме того, архитектура RedHook включает в себя функцию кейлоггинга, которая регистрирует нажатия клавиш вместе с соответствующим контекстом приложения, отправляя эту информацию на сервер C2. Открытые ресурсы в общедоступной корзине AWS S3 позволили получить представление об инфраструктуре вредоносного ПО, выявив оперативные материалы, такие как скриншоты, поддельные шаблоны и доказательства предыдущих мошеннических действий, направленных против граждан Вьетнама.

Разработка RedHook, по-видимому, связана с китайскоязычным хакером или группой, на что указывают строки на китайском языке, найденные в его коде. Анализ показывает, что это вредоносное ПО эволюционировало от традиционного мошенничества в области социальной инженерии к более изощренному средству кражи финансовых средств, демонстрируя тревожную тенденцию в области угроз кибербезопасности, которые сочетают фишинг с передовыми инвазивными методами.

Появление RedHook подчеркивает необходимость того, чтобы пользователи, особенно в регионах с высоким уровнем риска, таких как Вьетнам, применяли комплексные стратегии обнаружения мобильных угроз, а организации активно обменивались разведывательной информацией, чтобы смягчить эскалацию и влияние таких хакеров.

#ParsedReport #CompletenessMedium
29-07-2025

Scattered Spider

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/scattered-spider

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: information_theft, cyber_criminal, financially_motivated)

Threats:
Dragonforce_ransomware
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Screenconnect_tool
Splashtop_tool
Tailscale_tool
Teamviewer_tool
Anydesk_tool
Avemaria_rat
Raccoon_stealer
Vidar_stealer
Rattyrat
Lolbin_technique
Smishing_technique
Spear-phishing_technique

Industry:
Critical_infrastructure, E-commerce, Government

Geo:
Australian, Russia, Canadian, United kingdom

TTPs:
Tactics: 9
Technics: 43

IOCs:
File: 1
Domain: 1

Soft:
Pulseway, Active Directory, ESXi, Slack, Microsoft Teams, Microsoft Exchange, remote desktop services

Crypto:
bitcoin

Languages:
java

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Spider group (UNC3944) нацелена на крупные корпорации, сосредоточившись на ИТ-службах поддержки для кражи данных и вымогательства с использованием передовой социальной инженерии, включая “push-бомбардировку” и подмену SIM-карт. Они внедряют сложные вредоносные программы, такие как DragonForce ransomware, и поддерживают постоянство с помощью регистрации токенов MFA и средств удаленного мониторинга, одновременно используя фишинговые атаки для получения первоначального доступа.
-----

В совместном документе по кибербезопасности, опубликованном несколькими федеральными и международными агентствами, говорится о недавней деятельности хакерской группы Scattered Spider, известной также как UNC3944, Scatter Swine и других. Эта группа в основном нацелена на крупные корпорации, уделяя особое внимание их ИТ-службам поддержки, которые способствуют краже данных с целью вымогательства. В рекомендациях освещаются обновленные тактики, методы и процедуры (TTP), раскрывающие использование передовых методов социальной инженерии и различных вредоносных программ, включая недавно обнаруженную программу-вымогатель DragonForce. Операции Scattered Spider, как правило, включают в себя сочетание кражи и шифрования конфиденциальных данных, при этом их тактика развивается таким образом, чтобы избежать обнаружения.

Характерно, что Scattered Spider использует сложные тактики социальной инженерии, такие как “push-бомбардировка”, когда они бомбардируют сотрудников повторяющимися запросами на многофакторную аутентификацию (MFA) и замену SIM-карты для получения несанкционированного доступа к учетным записям. Группа имеет большой опыт в монетизации сетевого доступа с помощью тактики вымогательства и программ-вымогателей. Они часто используют законные инструменты удаленного доступа в злонамеренных целях, используя безобидное программное обеспечение для сокрытия своей деятельности.

Первоначальные угрозы, как правило, возникают в результате фишинговых атак, когда разрозненные атаки Spider нацелены на сотрудников в зависимости от их ролей в организациях, часто применяя индивидуальную тактику фишинга. После получения первоначального доступа они устанавливают постоянство, регистрируя свои собственные токены MFA и используя инструменты удаленного мониторинга. Известно также, что они манипулируют средами единого входа (SSO) для облегчения захвата учетных записей и повышения привилегий.

После подключения к сети их операции включают в себя обширные процессы обнаружения, нацеленные на сайты SharePoint, хранилища учетных данных и другие конфиденциальные ресурсы. Они активно используют методы эксфильтрации данных и инструменты ETL для сбора данных для контролируемого извлечения. Примечательно, что они могут ориентироваться на облачные сервисы, такие как AWS, для управления перемещениями внутри сети и быстрого поиска данных.

Чтобы скрыть свою деятельность, Scattered Spider создает учетные данные в скомпрометированной среде, участвует в совещаниях по реагированию на инциденты и использует сменяющиеся имена компьютеров и прокси-сети, чтобы избежать обнаружения. В рекомендациях подчеркивается важность выполнения рекомендаций по обеспечению безопасности для снижения рисков, связанных с такими злоумышленниками, и организациям рекомендуется незамедлительно сообщать властям о любых инцидентах, связанных с программами-вымогателями, или связанных с ними сообщениях.

#ParsedReport #CompletenessLow
30-07-2025

Email-Delivered RMM: Abusing PDFs for Silent Initial

https://labs.withsecure.com/publications/email-delivered-rmm.html

Report completeness: Low

Threats:
Fleetdeck_tool
Atera_tool
Bluetrait_tool
Screenconnect_tool
Blackbasta
Conti
Blackcat
Action1_tool
Optitune_tool
Syncro_tool
Superops_tool

Industry:
Government, Energy, Financial

Geo:
Luxembourg, Dutch, France, Netherlands

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1078, T1078.004, T1204.001, T1219, T1566.001, T1566.002, T1588.002

IOCs:
Url: 41
Hash: 65

Soft:
Microsoft Word

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С ноября 2024 года целенаправленные кибератаки использовали инструменты удаленного мониторинга и управления (RMM) с помощью вредоносных PDF-файлов в электронных письмах организациям во Франции и Люксембурге. Злоумышленники используют социальную инженерию для распространения ссылок для установщиков RMM, избегая обнаружения и предоставляя удаленный доступ, а некоторые используют для распространения такие платформы, как Zendesk. Это иллюстрирует сдвиг в сторону использования законного программного обеспечения для кибератак, подчеркивая необходимость усиления защиты от такой тактики.
-----

С ноября 2024 года участились целенаправленные кибератаки с использованием инструментов удаленного мониторинга и управления (RMM), встроенных в PDF-документы. Атаки в основном нацелены на организации во Франции и Люксембурге с помощью электронных писем, содержащих PDF-файлы со ссылками на установщиков инструментов RMM. Эти PDF-файлы создаются таким образом, чтобы они выглядели правдоподобно, и часто напоминают счета-фактуры или контракты. Злоумышленники используют методы социальной инженерии, такие как подделка электронной почты и выдача себя за сотрудников, чтобы повысить доверие к электронной почте. Ссылки в PDF-файлах ведут на уникальные URL-адреса для загрузки, предоставляемые поставщиками RMM. Злоумышленники используют такие платформы, как Zendesk, для распространения вредоносных PDF-файлов в обход средств защиты электронной почты. Инструменты RMM, такие как FleetDeck, Atera и Bluetrait, пользуются популярностью благодаря простоте использования и минимальной настройке. Наблюдаемый метод включает использование перенаправляющего URL-адреса для ScreenConnect, чтобы скрыть обнаружение домена RMM. Исторические данные указывают на более ранние случаи использования RMM, начиная с июля 2024 года. Эта тенденция подчеркивает растущую угрозу, исходящую от неправомерного использования законного программного обеспечения и изощренной тактики социальной инженерии.

#ParsedReport #CompletenessMedium
30-07-2025

Cobalt Strike Beacon delivered via GitHub and social media

https://securelist.com/cobalt-strike-attacks-using-quora-github-social-media/117085/

Report completeness: Medium

Actors/Campaigns:
Eastwind

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Dll_hijacking_technique
Dll_sideloading_technique

Victims:
Russian it industry, Large and medium-sized businesses

Industry:
Petroleum

Geo:
Peru, Malaysia, Japan, China, Russian

TTPs:
Tactics: 1
Technics: 4

IOCs:
File: 7
Url: 16
Hash: 16

Algorithms:
xor, base64

Win API:
messageboxw

Links:
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fmashcheeva/?icid=gl\_OpenTIP\_acq\_ona\_smm\_\_onl\_b2b\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_800905ef70012b0a&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fkimoeli/?icid=gl\_OpenTIP\_acq\_ona\_smm\_\_onl\_b2b\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_cfb3ac56d75a208b&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2024 года в ходе кибератаки на российский ИТ-сектор был использован специальный фишинг с перехватом DLL-файлов для развертывания Cobalt Strike Beacon. Злоумышленники общались через социальные сети и платформы, такие как GitHub, используя запутанные вызовы API и шеллкод с шифрованием XOR для связи C2 с целями, в том числе в Азии и Латинской Америке.
-----

В конце 2024 года была проведена масштабная кибератака на российскую ИТ-индустрию и различные международные организации. Злоумышленники использовали множество методов, чтобы избежать обнаружения, в первую очередь используя социальные сети и платформы пользовательского контента для распространения информации о своих вредоносных программах. Среди известных платформ, использовавшихся для этой цели, были GitHub, Microsoft Learn Challenge и российские социальные сети. Эта кампания, в основном, была основана на широко известном Cobalt Strike Beacon и оставалась активной с ноября 2024 года по апрель 2025 года, после небольшой паузы возобновившись с немного измененными образцами атак.

Атака началась с фишинговых электронных писем, которые содержали вредоносные вложения, замаскированные под законные сообщения от государственных компаний, особенно в нефтегазовом секторе. Злоумышленники стремились создать ложную легитимность, чтобы побудить свои цели открыть эти вложенные файлы, что привело к компрометации. Важным методом, использованным в этой атаке, был захват библиотеки DLL (T1574.001). Злоумышленники воспользовались утилитой отправки сообщений о сбоях (BsSndRpt.exe), переименовав свой вредоносный код в nau.exe. Они заменили основные библиотечные файлы (BugSplatRc64.dll) вредоносной версией, предназначенной для загрузки вместо законной библиотеки DLL, что облегчило выполнение их кода.

Запутывание функций API в этой вредоносной библиотеке было достигнуто с помощью динамического разрешения API (T1027.007), которое было разработано для динамического скрытия вызовов функций во время выполнения. Чтобы манипулировать законной утилитой, злоумышленники изменили вызовы, такие как MessageBoxW, для перенаправления на функцию в вредоносной библиотеке, эффективно маскируя свою активность от мер безопасности, особенно в изолированных средах.

Функция вредоносного ПО, называемая NewMessageBox, выполняла двухэтапный процесс создания шеллкода. Первоначально она извлекала HTML-контент из специально разработанных URL-адресов, хранящихся в библиотеке вредоносных программ. Этот поиск проводился по определенным строкам, определенным в коде, что позволило злоумышленникам использовать популярные платформы для размещения вредоносной полезной нагрузки. Вредоносные профили, хотя и не использовали реальные учетные записи пользователей, подчеркивали появляющуюся тактику использования надежных платформ, таких как GitHub и сайты вопросов и ответов, для хранения информации, которая может спровоцировать дальнейшие действия в скомпрометированных системах.

Извлеченные полезные данные в конечном итоге привели к загрузке шеллкода, зашифрованного методом XOR, который, как было проанализировано, содержал отражающий загрузчик, который вводил маяк Cobalt Strike в память целевого процесса (T1620). Связь с сервером C2 осуществлялась через зашифрованный URL-адрес, что отражает аналогичные методы, использованные в других кампаниях, таких как EastWind, с совпадающими целями среди российских ИТ-компаний и международных бизнес-секторов, особенно в таких странах, как Китай, Япония, Малайзия и Перу.