#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ToolShell нацелена на организации с помощью уязвимостей нулевого дня в серверах SharePoint, связанных с группами, спонсируемыми китайским государством. Злоумышленники используют PowerShell для доставки полезной нагрузки и веб-оболочку для извлечения данных, в частности значений machineKey. Кроме того, группа Salt Typhoon использует уязвимости Cisco для доступа к телекоммуникационным сетям, выявляя серьезные риски для конфиденциальных коммуникаций и национальной безопасности. Для обнаружения этих угроз рекомендуется использовать расширенный анализ сетевого трафика и правила обнаружения SIEM.
-----

Кампания по кибератаке ToolShell была нацелена почти на 150 организаций по всему миру, уделяя особое внимание локальным серверам SharePoint, уязвимым к сбоям нулевого дня. Эти эксплойты, связанные с такими спонсируемыми китайским государством группами, как Linen Typhoon и Violet Typhoon, содержат ранее исправленные уязвимости CVE-2025-49704 и CVE-2025-49706, которые были устранены в обновлениях безопасности Microsoft от июля 2025 года. Первоначальные попытки эксплуатации были отмечены еще 17 июля 2025 года, а первые известные попытки эксплуатации произошли 7 июля, что совпало со сроками получения предупреждений, переданных партнерам MAPP.

Злоумышленники использовали методы доставки полезной нагрузки на основе PowerShell и развернули веб-оболочку, известную как spinstall0.aspx, специально разработанную для разведки и сохранения данных в скомпрометированных системах. Эта оболочка используется в основном для извлечения данных, в частности, для поиска значений machineKey, жизненно важных для обеспечения доступа к SharePoint. Последующие волны атак произошли 21 и 22 июля, в основном с использованием сервисов облачной инфраструктуры, в том числе в нескольких регионах, для маскировки источников атак.

Кроме того, кампания раскрыла участие группы, известной как Salt Typhoon. Эта группа использовала уязвимости в устройствах Cisco (в частности, CVE-2023-20198 и CVE-2023-20273) для получения несанкционированного доступа к телекоммуникационным сетям, создавая серьезные риски для национальной безопасности, позволяя перехватывать частные сообщения, касающиеся конфиденциальных правительственных обсуждений. Более того, группа нарушила законные системы перехвата, используемые американскими интернет-провайдерами, что еще больше усугубило опасения по поводу конфиденциальности и безопасности.

Для устранения таких угроз крайне важно улучшить анализ сетевого трафика. В частности, мониторинг необычных размеров POST-запросов к серверам SharePoint и специфических кодированных полезных нагрузок может выявить попытки взлома. Журналы событий Windows также следует тщательно проверять на наличие определенных идентификаторов событий, указывающих на ошибки приложений и сбои процессов, связанные с вредоносной активностью. Были предложены правила обнаружения SIEM, направленные на выявление вредоносных запросов POST, нацеленных на SharePoint, и подчеркивающие важность раннего обнаружения и упреждающих защитных мер для борьбы с такими изощренными хакерами.

#ParsedReport #CompletenessMedium
04-08-2025

SLOW#TEMPEST Cobalt Strike Loader

https://dmpdump.github.io/posts/CobaltStrike_HK/

Report completeness: Medium

Actors/Campaigns:
Slow_tempest

Threats:
Cobalt_strike_tool
Dll_sideloading_technique
Junk_code_technique

Victims:
Zhengzhou commodity exchange

Geo:
China, Hong kong, Hongkong, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1105, T1204.002, T1497.001, T1566.001

IOCs:
Hash: 7
File: 13
Path: 2
Domain: 2

Soft:
DingTalk

Algorithms:
xor, deflate, gzip, sha2

Win API:
NetBIOS, GlobalMemoryStatusEx, ShellExecuteA, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection

Platforms:
x64

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 июля 2025 года был обнаружен вредоносный ISO-код, предназначенный для китайскоязычных пользователей с помощью ярлыка, который запускает библиотеку DLL, способную к дополнительной загрузке и использующую методы Cobalt Strike. Загрузчик, ldrunlock.dll проверяет оперативную память системы, чтобы увеличить нагрузку, и использует поддельные домены, чтобы вписаться в законный трафик, что указывает на высокую адаптивность и постоянство кампании.
-----

18 июля 2025 года на сайте VirusTotal был обнаружен вредоносный ISO-образ, который демонстрирует структуру, распространенную среди хакеров, нацеленных на китайскоязычных пользователей. При установке этого ISO—файла жертвы обнаруживают ярлык с именем Review.lnk, обманчиво оформленный в виде значка папки, который ведет к скрытым файлам, включая законный исполняемый файл, вредоносную DLL—библиотеку и поддельный PDF-файл. Файл LNK, в котором, возможно, повторно используются ранее виденные временные метки, связанные с выполнением DingTalkSnippingTool.exe, указывает на постоянную кампанию из-за ее более ранних изменений, относящихся к 2024 году.

Анализ запущенных файлов выявил потенциальную побочную загрузку библиотеки DLL, в частности, анализ исполняемого файла config.exe, который загружает вредоносный компонент arphadump64.dll. Этот загрузчик сильно запутан посторонним кодом, что затрудняет анализ, но его основные функции можно точно определить. В частности, он проверяет объем оперативной памяти системы для условного выполнения дальнейших вредоносных программ, если в системе имеется не менее 6 ГБ оперативной памяти. Примечательно, что наличие пользовательского заголовка MZARUH в расшифрованной полезной информации указывает на его связь с известным вредоносным по Cobalt Strike. Эта версия настроена для взаимодействия с сервером управления (C2) с использованием доменов, которые имитируют законный трафик для китайских онлайн-платформ, таких как Bilibili.

Дальнейший анализ показывает, что загрузчик поддерживает ненормальное выполнение, реализуя "бесконечный патч", блокирующий стандартные потоки работы программы и позволяющий вредоносному потоку Cobalt Strike сохраняться. Этот загрузчик был скомпилирован непосредственно перед загрузкой ISO, что указывает на жестко контролируемый и адаптивный процесс разработки угроз. Название ldrunlock.dll для этого загрузчика, вероятно, связано с его функциональностью, определенной в обновлении infinite.

Технические метаданные этого мероприятия показывают значительное совпадение с кампанией SLOW#TEMPEST, о которой Securonix сообщала ранее. Результаты исследования включают аналогичную ориентацию на китайскоязычных пользователей, структуру папок с подписью злоумышленника (например, скрытые каталоги с надписью "evil") и тот же водяной знак Cobalt Strike, который использовался в прошлых операциях. Сравнение с аналогичными угрозами позволяет предположить, что эта кампания является не изолированным инцидентом, а частью более широкой схемы, использующей передовые методы уклонения, включая использование легального программного обеспечения (DingTalk.exe) в качестве прикрытия для запуска загрузчиков и облегчения развертывания вредоносного ПО.

Этот случай свидетельствует о все более изощренных методах, используемых хакерами, особенно в том, как они создают вредоносную инфраструктуру, используя тактику социальной инженерии и оставаясь незаметными, чтобы избежать обнаружения.

#ParsedReport #CompletenessMedium
04-08-2025

Ghost in the Zip \| New PXA Stealer and Its Telegram-Powered Ecosystem

https://www.sentinelone.com/labs/ghost-in-the-zip-new-pxa-stealer-and-its-telegram-powered-ecosystem/

Report completeness: Medium

Threats:
Pxa_stealer
Supply_chain_technique
Lumma_stealer
Rhadamanthys
Redline_stealer
Vidar_stealer

Industry:
Financial, E-commerce

Geo:
Israel, Austria, Taiwan, Korea, Netherlands, Vietnam, Hungary

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1055.001, T1071.001, T1105, T1176, T1204.002, T1216.001, T1218.011, have more...

IOCs:
File: 11
Path: 2
Registry: 1
Domain: 3
Command: 1
Url: 15
Hash: 64

Soft:
Telegram, Microsoft Word, Dropbox, Windows Registry, Windows Update Service, Windows Explorer, Chrome, CocCoc, Discord, 360Browser, have more...

Wallets:
exodusweb3, safepal, aptos_wallet, sui_wallet, atomicwallet, talisman_wallet, tonkeeper, bitapp, bitget_wallet, math_wallet, have more...

Crypto:
bitcoin, uniswap, dogecoin, monero, binance, ethereum, kucoin

Algorithms:
zip, sha1

Win API:
Arc

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продвинутая кампания infostealer, использующая PXA Stealer на базе Python, нацелена на получение конфиденциальных данных с помощью легального программного обеспечения. В ней используются методы антианализа, обфускации и уязвимости браузера для передачи отфильтрованных данных через Telegram. Было выявлено более 4000 жертв в 62 странах, что свидетельствует об эволюции и изощренности кампании.
-----

SentinelLabs и Beazley Security разработали расширенную кампанию по борьбе с кражей информации с использованием PXA Stealer на базе Python, которая действует с конца 2024 года. Кампания, которую приписывают хакерам, говорящим на вьетнамском языке, превратилась в очень сложную операцию, в которой используются тонкие методы антианализа и механизмы введения в заблуждение. В этих кампаниях используется легальное программное обеспечение, такое как Haihaisoft PDF Reader и Microsoft Word 2013, для дополнительной загрузки вредоносных компонентов и обеспечения устойчивости зараженных систем.

Злоумышленники используют многоуровневые методы обфускации и обмана, такие как внедрение вредоносных библиотек DLL и маскировка архивов под допустимые типы файлов, что значительно усложняет усилия по обнаружению. Программа PXA Stealer нацелена на получение и отправку широкого спектра конфиденциальной информации, включая учетные данные, данные браузера, платежную информацию и реквизиты криптовалютного кошелька, в каналы Telegram через автоматизированные бот-сети. Было идентифицировано более 4000 уникальных IP-адресов жертв по меньшей мере в 62 странах, причем значительная их концентрация приходится на Южную Корею, Соединенные Штаты, Нидерланды, Венгрию и Австрию.

В ходе развития этой кампании участники переместили свою полезную нагрузку с исполняемых файлов Windows на варианты на базе Python, используя многоступенчатый подход к атаке. Вредоносная программа способна извлекать данные, используя инфраструктуру Telegram, что обеспечивает анонимность передачи данных и снижает риск обнаружения. Полученные данные объединяются в ZIP-файлы и отправляются определенным идентификаторам ботов Telegram и каналам чата для монетизации. Это соответствует растущей тенденции использования законных платформ для облегчения кражи информации и оптимизации процесса продажи украденных данных.

PXA Stealer использует уязвимости браузера, особенно в системах на базе Chromium, для расшифровки сохраненных паролей, файлов cookie и данных автозаполнения. Кроме того, он пытается внедрить вредоносные DLL-библиотеки в процессы браузера для извлечения данных из надежно сохраненных источников. Эта операция демонстрирует переход к автоматизированной монетизации украденной информации, основанной на инфраструктуре, что позволяет злоумышленникам максимизировать прибыль при минимизации эксплуатационных расходов. С ростом сложности таких кампаний по краже информации службы безопасности должны адаптироваться для защиты от угроз, которые используют установленные каналы связи для вредоносных действий.

#ParsedReport #CompletenessMedium
04-08-2025

Android Malware Targets Indian Banking Users to Steal Financial Info and Mine Crypto

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-targets-indian-banking-users-to-steal-financial-info-and-mine-crypto/

Report completeness: Medium

Threats:
Xmrig_miner

Victims:
Hindi-speaking users, Indian users

Industry:
Financial

Geo:
Indian, India

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1105, T1106, T1129, T1204.002, T1406, T1446, T1496, have more...

IOCs:
Hash: 5
Url: 5

Soft:
Android, Google Play

Crypto:
monero

Algorithms:
xor, randomx

Languages:
javascript, java

Links:
https://github.com/xmrig/xmrig

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа для Android нацелена на пользователей, говорящих на хинди, и выдает себя за банковские приложения для кражи личных данных и майнинга Monero с помощью XMRig. Она работает через фишинговые сайты и FCM, что усложняет обнаружение из-за многоступенчатой загрузки и поддельного интерфейса.
-----

Исследовательская группа McAfee по мобильным технологиям выявила новую кампанию вредоносных программ для Android, которая нацелена на пользователей, говорящих на хинди, в первую очередь в Индии. В кампании участвуют вредоносные программы, которые маскируются под законные финансовые приложения от известных индийских банков, таких как SBI Card, Axis Bank и IndusInd Bank. Эта вредоносная программа распространяется через фишинговые веб-сайты, которые полностью имитируют официальные банковские сайты, используя тактику социальной инженерии, чтобы обманом заставить пользователей загрузить вредоносное приложение.

Вредоносное ПО обладает двойной функциональностью: оно не только крадет личные и финансовые данные, но и тайно добывает криптовалюту Monero с помощью программного обеспечения для майнинга XMRig. Процесс майнинга активируется через Firebase Cloud Messaging (FCM), что позволяет вредоносному ПО работать без ведома пользователя. После запуска, казалось бы, безобидного приложения, пользователи сталкиваются с поддельным запросом на обновление в Google Play Store. Приложение содержит зашифрованный файл DEX, который служит в качестве компонента загрузки, который расшифровывает и динамически загружает фактическую вредоносную нагрузку в память. Этот многоступенчатый метод загрузки усложняет статический анализ и обнаружение с помощью систем кибербезопасности.

После выполнения полезной нагрузки приложение представляет поддельный финансовый интерфейс, предлагая жертвам ввести конфиденциальную информацию, такую как их имя, номер карты, CVV и срок годности. Затем эти данные передаются на сервер управления (C2), которым управляют злоумышленники. Чтобы сохранить эту уловку, приложение отображает поддельную страницу управления, якобы предназначенную для обработки заявки пользователя, что еще больше вводит жертву в заблуждение.

Особенно примечательна функциональность вредоносного ПО для интеллектуального анализа данных. В дополнение к сбору конфиденциальных данных, оно включает в себя службу, которая прослушивает определенные команды через FCM для запуска процесса интеллектуального анализа данных. Вредоносная программа содержит жестко закодированные URL-адреса, к которым она пытается подключиться для загрузки двоичного файла, зашифрованного и обозначенного расширением .so. Примечательно, что он использует класс Java ProcessBuilder для выполнения этого двоичного файла непосредственно в качестве автономного приложения, имитируя законные операции командной строки XMRig для майнинга Monero.

Эта кампания подчеркивает сложный подход, сочетающий в себе кражу данных и эксплуатацию ресурсов, иллюстрирующий меняющийся ландшафт угроз, нацеленных на мобильных пользователей с помощью тактик социальной инженерии и передовых методов уклонения. Возможность майнить криптовалюту, компрометируя пользовательские данные, усиливает угрозу, особенно учитывая функции Monero, ориентированные на конфиденциальность, которые облегчают незаконные финансовые транзакции.

#ParsedReport #CompletenessMedium
05-08-2025

APT36 Expands Beyond Military: New Attacks Hit Indian Railways, Oil & Government Systems

https://hunt.io/blog/apt36-india-infrastructure-attacks

Report completeness: Medium

Actors/Campaigns:
Transparenttribe

Threats:
Mythic_c2
Poseidon
Credential_harvesting_technique

Victims:
Indian railways, Oil and gas infrastructure, Ministry of external affairs, Indian government organizations, Drdo, Ministry of defence, Indian air force, Jammu and kashmir police, Indian army

Industry:
Transport, Military, Petroleum, Government, Critical_infrastructure

Geo:
Pakistan, Germany, Indian, Bulgaria, India, Singapore, Kashmir, Netherlands

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1070.004, T1071.001, T1078, T1105, T1219, T1566.001

IOCs:
IP: 7
File: 2
Domain: 1
Hash: 9

Soft:
Linux

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, нацелен на индийскую инфраструктуру, используя тактику фишинга с помощью .файлы на рабочем столе, маскирующие вредоносное ПО под PDF-файлы. Они используют бэкдор Poseidon для постоянного доступа и расширили свои фишинговые кампании до более чем 100 доменов, вводящих в заблуждение, что усиливает усилия по credential harvesting.
-----

APT36, также известная как Transparent Tribe, является связанной с Пакистаном хакерской группировкой, которая расширила свои операции, нацелившись на более широкий спектр индийских правительственных и гражданских объектов инфраструктуры, включая железнодорожные системы, нефтегазовый сектор и Министерство иностранных дел. Группа использует изощренную тактику фишинга, в основном используя файлы .desktop, замаскированные под PDF-документы, для выполнения вредоносных скриптов, которые загружают вредоносное ПО. Были идентифицированы два различных варианта атаки, один из которых опирается на единый сервер управления (C2), а другой использует резервные серверы для обеспечения устойчивости к взлому, что свидетельствует о стратегическом усовершенствовании их методов работы.

Этот метод предполагает доставку файлов .desktop, которые кажутся безвредными, но при открытии запускают фоновые скрипты, которые загружают вредоносное ПО и настраивают задания cron для обеспечения сохраняемости. Эти вредоносные полезные файлы хранятся в каталогах, предназначенных для имитации законных системных файлов, таких как \~/.local/share/ и /dev/shm/. Определенные файлы с названиями, напоминающими легальное программное обеспечение, такие как p7zip-full и emacs-bin, используются для маскировки вредоносных действий. Бэкдором, используемым в этих атаках, является вредоносная программа Poseidon, созданная с использованием платформы управления Mythic. Бэкдор Poseidon позволяет APT36 поддерживать постоянный доступ к зараженным системам, облегчать боковое перемещение и проводить credential harvesting.

Примечательно, что инфраструктура APT36 охватывает несколько серверов, размещенных на DigitalOcean, что помогает поддерживать соединения, даже если некоторые из них отключены. Конкретные IP-адреса, такие как 209.38.203.53, 165.232.114.63 и 165.22.251.224, были связаны с их операциями. Анализ показывает, что эти серверы имеют решающее значение для их связи C2, позволяя злоумышленникам осуществлять контроль над скомпрометированными системами.

Фишинг-кампании, связанные с APT36 также расширены, при регистрации группы, более чем 100 обманчива доменов, олицетворение индийской государственных организаций. Многие из этих доменов, созданных для того, чтобы обмануть пользователей, заставив их поверить, что они получают доступ к законным порталам, размещены на AlexHost. Использование сообщают поддоменов и подобные именования нередко сливаются законного правительства цифрового ландшафта, позволяя apt36 APT36 для сбора учетных данных. Эта тактика свидетельствует о более широкой стратегии, направленной на повышение эффективности их фишинговых операций и распространения вредоносных программ.

#ParsedReport #CompletenessLow
05-08-2025

Modular Malware Suite Sold by Threat Actors Through Public Storefront Domains

https://gbhackers.com/modular-malware-suite-sold-by-threat-actors/

Report completeness: Low

Threats:
Growtopia
Mitm_technique
Process_injection_technique
Polymorphism_technique

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1056.001, T1090.002, T1113, T1176, T1496, T1498

IOCs:
Domain: 1

Soft:
Twitter, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Cyber Products запустила Cyber Stealer, модульный пакет вредоносных программ, доступный по подписке, который включает в себя такие функции, как кейлоггинг, инструменты для DDoS-атак и бесшумный майнинг криптовалют. Его архитектура допускает кастомизацию и усовершенствованную тактику уклонения, что делает его серьезной угрозой мерам безопасности.
-----

Субъект угрозы, идентифицированный как Cyber Products, запустил публичную витрину магазина, cyberproducts.io , для распространения своего модульного пакета вредоносных программ, известного как Cyber Stealer. Это отражает тенденцию к коммерциализации инструментов киберпреступности, причем рекламные акции также проводятся на подпольных форумах, таких как хакфорумы. Позиционируемый как комплексная платформа для различных киберугроз, Cyber Stealer обладает модульной архитектурой, позволяющей настраивать и масштабировать его в соответствии с различными потребностями в атаках.

Cyber Stealer доступен в трех вариантах подписки — обычной, Премиум- и VIP — каждый из которых предлагает различные уровни функциональности и продолжительности доступа, варьирующиеся от одной недели до пожизненного доступа. Основная функциональность сосредоточена на расширенных возможностях кражи информации, которые включают в себя такие методы, как блокировка клавиатуры, захват экрана и сбор данных браузера для извлечения конфиденциальной информации, включая учетные данные и финансовую информацию.

Кроме того, пакет оснащен возможностями отравления DNS, позволяющими злоумышленникам внедрять вредоносные записи DNS для перенаправления трафика на контролируемые ими серверы, что облегчает атаки man-in-the-middle или фишинговые схемы. Он также включает в себя инструменты распределенного отказа в обслуживании (DDoS), которые могут инициировать различные типы атак для подавления целевых систем, часто используя возможности ботнет для повышения эффективности. Включен бесшумный майнер криптовалют, который скрытно использует системные ресурсы, такие как циклы процессора и графического процессора для майнинга криптовалют, не повышая осведомленности пользователей, используя методы process Injection и антианализа, чтобы избежать обнаружения системами безопасности конечных точек.

Архитектура Cyber Stealer's поддерживает функции обратного прокси-сервера, обеспечивая анонимизацию трафика и постоянную передачу команд и контроля по зашифрованным каналам. Такое использование доверия к подписанным двоичным файлам повышает способность вредоносного ПО обходить современные меры безопасности, повышая вероятность успешного заражения при использовании современных антивирусных технологий и технологий безопасной загрузки.

Эволюция Cyber Stealer отражает более широкие тенденции в разработке вредоносных программ, такие как использование polymorphic кода и структур на основе плагинов, которые бросают вызов методам обнаружения. Исследователи безопасности предупреждают, что мониторинг активности в доменах, проверка подпольных форумов и содействие совместному обмену разведывательной информацией являются важнейшими шагами для пресечения распространения таких вредоносных торговых площадок. Организациям рекомендуется внедрять многоуровневые стратегии безопасности, включая системы нулевого доверия и обнаружение аномалий в режиме реального времени, для защиты от угроз, создаваемых этими коммерциализированными платформами вредоносных программ.

#ParsedReport #CompletenessLow
05-08-2025

Fingerprinting Malware C2s with Tags

https://www.team-cymru.com/post/fingerprinting-malware-c2s-with-tags

Report completeness: Low

Threats:
Neptune_tool
Gremlin_stealer
Unamwebpanel_tool
Silentcryptominer_tool
Seo_poisoning_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1496, T1539, T1555.003, T1566.002, T1583.002, T1595.002

IOCs:
File: 2
IP: 10

Soft:
Telegram, Chrome, Steam, Discord

Links:
https://github.com/UnamSanctam/UnamWebPanel
https://github.com/NotiPeru/SilentCryptoMiner

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Передовые исследовательские группы используют методы снятия отпечатков пальцев для анализа инфраструктуры C2 и выявления киберугроз. Загрузчик Neptune, Gremlin Stealer и SilentCryptoMiner выделяются своими уникальными атрибутами, облегчающими отслеживание их контроллеров с помощью определенных IP-характеристик и открытых портов. Инструменты от Team Cymru улучшают идентификацию скомпрометированных систем в сетях.
-----

В блоге представлена информация о методах, используемых передовыми исследовательскими группами для выявления инфраструктуры командования и контроля (C2), используемой субъектами угроз. Снятие отпечатков пальцев включает в себя анализ IP-адресов на наличие определенных атрибутов, таких как открытые порты, баннеры, сертификаты SSL/TLS, пассивные записи DNS и данные WHOIS, для построения подробного профиля сред C2. Команда Cymru использует систему тегов, которая связывает различные атрибуты IP-адресов, чтобы помочь идентифицировать и отслеживать вредоносные сообщения C2. Отслеживая эти теги с помощью своих продуктов Pure Signal, исследователи могут собирать показатели с течением времени, чтобы выявить тенденции в IP-инфраструктуре, связанные с киберугрозами.

В ходе анализа различных вредоносных кампаний были выявлены важные выводы, касающиеся конкретных семейств вредоносных программ. Загрузчик Neptune, представленный в ноябре 2023 года, функционирует как HTTP-загрузчик, позволяющий операторам управлять зараженными системами через веб-интерфейс. Такие индикаторы, как открытый порт 3000 и соответствующий HTTP-заголовок "Neptune - Login", могут использоваться для создания отпечатков пальцев для идентификации других контроллеров загрузчика Neptune в режиме онлайн. Аналогичным образом, в апреле 2025 года Palo Alto Networks сообщила о появлении вредоносной программы под названием Gremlin Stealer, известной кражей конфиденциальных данных, включая веб-файлы cookie и учетные данные пользователя. Вредоносная программа использует открытый порт 80, обозначенный названием "Gremlin Access", который также может быть использован для отслеживания ее контроллеров с использованием данных Team Cymru.

Еще одно заслуживающее внимания вредоносное ПО, SilentCryptoMiner, использовалось для несанкционированного майнинга криптовалют с момента его выпуска в ноябре 2021 года. Недавно это было замечено в кампаниях, использующих SEO poisoning и обучающие программы YouTube, о чем сообщает Kaspersky. Связанная Unam Web Panel для управления майнером представляет свои собственные идентифицируемые атрибуты через открытый порт 80, показывая "Unam Web Panel - Вход в систему"..

Команда Cymru предоставляет своим клиентам Scout инструменты для эффективного запроса IP-адресов, связанных с этими семействами вредоносных программ, что позволяет идентифицировать потенциально скомпрометированные системы в сетях. Например, они могут фильтровать IP-адреса, помеченные как маршрутизаторы, чтобы потенциально точно определить корпоративные устройства, действующие как шлюзы для зараженных систем, подключающихся обратно к их инфраструктуре C2. Такие методологии подчеркивают важность использования точных методов определения принадлежности и мониторинга в области разведки киберугроз.