#ParsedReport #CompletenessLow
05-08-2025

Fingerprinting Malware C2s with Tags

https://www.team-cymru.com/post/fingerprinting-malware-c2s-with-tags

Report completeness: Low

Threats:
Neptune_tool
Gremlin_stealer
Unamwebpanel_tool
Silentcryptominer_tool
Seo_poisoning_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1496, T1539, T1555.003, T1566.002, T1583.002, T1595.002

IOCs:
File: 2
IP: 10

Soft:
Telegram, Chrome, Steam, Discord

Links:
https://github.com/UnamSanctam/UnamWebPanel
https://github.com/NotiPeru/SilentCryptoMiner

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Передовые исследовательские группы используют методы снятия отпечатков пальцев для анализа инфраструктуры C2 и выявления киберугроз. Загрузчик Neptune, Gremlin Stealer и SilentCryptoMiner выделяются своими уникальными атрибутами, облегчающими отслеживание их контроллеров с помощью определенных IP-характеристик и открытых портов. Инструменты от Team Cymru улучшают идентификацию скомпрометированных систем в сетях.
-----

В блоге представлена информация о методах, используемых передовыми исследовательскими группами для выявления инфраструктуры командования и контроля (C2), используемой субъектами угроз. Снятие отпечатков пальцев включает в себя анализ IP-адресов на наличие определенных атрибутов, таких как открытые порты, баннеры, сертификаты SSL/TLS, пассивные записи DNS и данные WHOIS, для построения подробного профиля сред C2. Команда Cymru использует систему тегов, которая связывает различные атрибуты IP-адресов, чтобы помочь идентифицировать и отслеживать вредоносные сообщения C2. Отслеживая эти теги с помощью своих продуктов Pure Signal, исследователи могут собирать показатели с течением времени, чтобы выявить тенденции в IP-инфраструктуре, связанные с киберугрозами.

В ходе анализа различных вредоносных кампаний были выявлены важные выводы, касающиеся конкретных семейств вредоносных программ. Загрузчик Neptune, представленный в ноябре 2023 года, функционирует как HTTP-загрузчик, позволяющий операторам управлять зараженными системами через веб-интерфейс. Такие индикаторы, как открытый порт 3000 и соответствующий HTTP-заголовок "Neptune - Login", могут использоваться для создания отпечатков пальцев для идентификации других контроллеров загрузчика Neptune в режиме онлайн. Аналогичным образом, в апреле 2025 года Palo Alto Networks сообщила о появлении вредоносной программы под названием Gremlin Stealer, известной кражей конфиденциальных данных, включая веб-файлы cookie и учетные данные пользователя. Вредоносная программа использует открытый порт 80, обозначенный названием "Gremlin Access", который также может быть использован для отслеживания ее контроллеров с использованием данных Team Cymru.

Еще одно заслуживающее внимания вредоносное ПО, SilentCryptoMiner, использовалось для несанкционированного майнинга криптовалют с момента его выпуска в ноябре 2021 года. Недавно это было замечено в кампаниях, использующих SEO poisoning и обучающие программы YouTube, о чем сообщает Kaspersky. Связанная Unam Web Panel для управления майнером представляет свои собственные идентифицируемые атрибуты через открытый порт 80, показывая "Unam Web Panel - Вход в систему"..

Команда Cymru предоставляет своим клиентам Scout инструменты для эффективного запроса IP-адресов, связанных с этими семействами вредоносных программ, что позволяет идентифицировать потенциально скомпрометированные системы в сетях. Например, они могут фильтровать IP-адреса, помеченные как маршрутизаторы, чтобы потенциально точно определить корпоративные устройства, действующие как шлюзы для зараженных систем, подключающихся обратно к их инфраструктуре C2. Такие методологии подчеркивают важность использования точных методов определения принадлежности и мониторинга в области разведки киберугроз.

#ParsedReport #CompletenessMedium
05-08-2025

Trojan.WinLNK/Powershell Runner

https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner

Report completeness: Medium

Threats:
Remcos_rat

Industry:
Telco

Geo:
Romania

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1021.001, T1027, T1036.002, T1036.003, T1056.001, T1059.001, T1105, T1113, T1125, have more...

IOCs:
File: 12
Command: 3
Hash: 7
Path: 8
IP: 2

Soft:
CHROME, Windows PowerShell, Task Scheduler

Algorithms:
sha1, sha256, base64, md5, zip

Functions:
Set-Content

Win API:
SetWindowsHookExA

Win Services:
WebClient

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные файлы LNK все чаще используются киберпреступниками для скрытного выполнения команд, часто маскируясь под безобидные документы. Они позволяют проводить атаки без использования файлов, позволяя вредоносным программам, таким как бэкдор REMCOS, сохраняться и управлять зараженными компьютерами через PowerShell. Эти угрозы используют настройки Windows по умолчанию для скрытия расширений файлов, что затрудняет их обнаружение.
-----

Вредоносные файлы LNK все чаще используются киберпреступниками в качестве вектора атаки для выполнения команд без срабатывания предупреждений системы безопасности. Эти ярлыки часто маскируются под доброкачественные документы, такие как счета-фактуры или файлы Word. Щелчок по этим файлам LNK обычно выполняет команды с использованием инструментов Windows, таких как PowerShell, что позволяет проводить атаки без файлов, которые не обнаруживаются.

В многоэтапной вредоносной кампании, развертывающей бэкдор REMCOS, в основном используются файлы LNK, часто распространяемые через фишинговые электронные письма или вредоносные веб-сайты. Поле "Цель" в файлах LNK может содержать вредоносные команды вместо законных приложений. Широко распространены такие методы, как использование местоположения значка для указания на вредоносные исполняемые файлы и использование альтернативных потоков данных (рекламы) для сокрытия полезной нагрузки.

Выполнение файла LNK запускает вредоносные команды, которые загружают и запускают вредоносное ПО с помощью PowerShell или скриптовых методов, позволяя вредоносному ПО установить постоянство. Бэкдор REMCOS, написанный на C++, позволяет осуществлять широкий контроль над зараженным компьютером, включая ведение журнала нажатий клавиш, выполнение произвольных команд, передачу файлов и захват данных с веб-камеры.

Зараженные системы создают файлы журналов в каталоге %ProgramData% в папке "remcos", в которых хранятся все журналы взаимодействий. Связь с сервером управления осуществляется через известные IP-адреса и зашифрованные соединения. Простота создания вредоносных LNK-файлов в сочетании с их скрытностью делает их серьезной угрозой, подчеркивая важность бдительности пользователей в отношении файлов быстрого доступа в электронных письмах или ненадежных источниках.

#ParsedReport #CompletenessLow
05-08-2025

Malware spread through Facebook ads disguised as cryptocurrency exchanges.

https://asec.ahnlab.com/ko/89347/

Report completeness: Low

Victims:
Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.001, T1059.001, T1082, T1105, T1113, T1192, T1204.002, T1497.001, T1539, have more...

IOCs:
File: 1
Hash: 5
Domain: 5

Soft:
Telegram, TradingView

Crypto:
binance, bitcoin

Algorithms:
base64, md5

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AhnLab ASEC обнаружила вредоносное ПО, нацеленное на пользователей криптовалют с помощью обманчивой рекламы в Facebook, выдающей себя за биржу. Он захватывает конфиденциальные данные, использует PowerShell для дальнейшего выполнения и включает в себя возможности кейлоггинга. Индикаторы компрометации включают конкретные хэши MD5 и вредоносные домены, такие как firewall-813.com .
-----

Аналитический центр безопасности AhnLab (ASEC) выявил новый штамм вредоносного ПО, специально предназначенного для пользователей криптовалют через рекламу в Facebook. Эта вредоносная программа маскируется под криптовалютную биржу, успешно обманывая пользователей и заставляя их загружать вредоносные программы. Как только пользователи просматривают рекламу и попадают на замаскированный веб-сайт, им предлагается загрузить файл с именем "installer.msi". Во время установки эта вредоносная программа устанавливает связь с JavaScript, запущенным на мошенническом сайте, и впоследствии запускает программу infostealer, которая захватывает системную информацию, снимки экрана и данные браузера.

Вредоносное ПО использует хитрость для оценки среды, в которой оно работает. Если он обнаружит, что система запущена в виртуальной среде, сервер прервет связь, вернув нулевое значение. Напротив, если система не является виртуальной, она выдает в ответ файл планировщика в формате XML, в котором регистрируется планировщик PowerShell. Этот планировщик настроен на выполнение сценария PowerShell в кодировке BASE64, запускаемого определенными событиями. После выполнения этого сценария другой сценарий PowerShell загружается из внешнего источника. Этот дополнительный скрипт может дополнительно загружать и выполнять другие скрипты, расширяя возможности вредоносного ПО.

Компонент вредоносной программы infostealer особенно эффективен, поскольку он собирает конфиденциальную информацию из браузеров и приложений, включая Telegram. Поведение вредоносной программы предполагает, что она также занимается кейлоггингом и потенциально другими вредоносными действиями. Пользователям рекомендуется проверять доменные адреса при загрузке файлов, чтобы снизить риск непреднамеренной установки вредоносного ПО. Исследование подчеркивает, что файлы, предлагаемые через рекламу, часто являются потенциально нежелательными программами (PUPS) или откровенным вредоносным ПО, что подчеркивает необходимость осторожности.

Анализ включает конкретные показатели компрометации (IOCs), связанные с этим вредоносным ПО, включая хэши MD5 для идентификации вредоносных файлов, а также полные доменные имена (FQDNs), связанные с его функционированием, такие как firewall-813.com , и различные домены, связанные с binance. Пользователям рекомендуется избегать загрузок с таких доменов для защиты от этих угроз.

#ParsedReport #CompletenessLow
05-08-2025

Android SpyBanker: Rerouting Calls to Attackers

https://labs.k7computing.com/index.php/android-spybanker-rerouting-calls-to-attackers/

Report completeness: Low

Threats:
Spybanker

Victims:
Indian banking users

Industry:
Government, Financial, Retail

Geo:
Indian, Deutsche, Kashmir, Bahrain, India, Kuwait

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1410, T1412, T1417, T1420, T1475

IOCs:
File: 1
Hash: 1

Soft:
Android, WhatsApp, Google Play, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
K7 Labs выявила вредоносное ПО для Android "Служба поддержки клиентов.apk", нацеленное на индийских банковских пользователей с помощью методов принудительного распространения, таких как WhatsApp. Он обходит предупреждения системы безопасности, работает бесшумно и изменяет переадресацию вызовов для перехвата банковской информации, способствуя финансовому мошенничеству.
-----

K7 Labs выявила часть вредоносного ПО для Android под названием "Служба поддержки клиентов.apk", которая специально нацелена на индийских банковских пользователей. Это вредоносное ПО использует уникальный метод установки, при этом телеметрия K7 указывает на то, что оно, скорее всего, установлено из папки "WhatsappDocuments". Это наводит на мысль о потенциальной стратегии принудительного распространения, возможно, включающей вишинг (голосовой фишинг) или методы фишинга, когда жертв обманом заставляют установить вредоносное ПО через WhatsApp.

После установки вредоносное ПО обходит уведомления системы безопасности Android, поскольку выдает предупреждения из "неизвестных источников" и помечается "Google Play Protect". Однако многие пользователи могут игнорировать эти предупреждения, что приводит к успешной установке. Примечательно, что у вредоносного ПО не зарегистрирована категория запуска, что означает, что оно не отображается в панели приложений и вместо этого запускается в фоновом режиме. Он запускается системными событиями, такими как SMS_RECEIVED и BOOT_COMPLETED.

Важной особенностью этого вредоносного ПО SpyBanker является его способность изменять "Номер переадресации вызова" через зарегистрированную службу, известную как "CallForwardingService". Эта функциональность позволяет перенаправлять входящие звонки жертвам на жестко закодированный номер, контролируемый злоумышленником, что позволяет им осуществлять вредоносные действия. Вредоносное ПО также собирает конфиденциальную банковскую информацию, специально предназначенную для различных индийских банков. Его уникальная реализация позволяет использовать единый макет для сбора банковских реквизитов; он изменяет отображаемый текст в зависимости от конкретного банка, выбранного из выпадающего списка. Этот метод повышает эффективность сбора данных, облегчая финансовое мошенничество за счет получения критически важной информации, включая одноразовые пароли (OTP).

В то время как банковские трояны были постоянной проблемой в среде угроз Android, инновационные методы, используемые этим вредоносным ПО, подчеркивают важность постоянных исследований для понимания связанных с ними векторов атак. Пользователям в Индии рекомендуется сообщать о случаях финансового мошенничества в рамках правительственной инициативы, размещенной на специальном онлайн-ресурсе. Рекомендуемые пользователям рекомендации включают загрузку приложений исключительно из магазина Google Play, регулярный просмотр и отключение ненужных разрешений для приложений, соблюдение осторожности при установке приложений и запросах, обновление функций безопасности ОС Android и поддержание на своих устройствах надежного программного обеспечения для обеспечения безопасности.

#ParsedReport #CompletenessLow
05-08-2025

Famous Chollima APT Adversary Simulation

https://medium.com/@S3N4T0R/famous-chollima-apt-adversary-simulation-58fbdf241d0e

Report completeness: Low

Actors/Campaigns:
Famous_chollima

Threats:
Supply_chain_technique
Invisibleferret
Bear-c2

Victims:
Job seekers, Software developers, It community, United states companies

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.006, T1059.007, T1071.001, T1078, T1105, T1140, T1204.002, T1219, have more...

IOCs:
File: 4

Soft:
Linux, macOS, Zoom, sudo, Twitter

Algorithms:
base64, xor

Languages:
powershell, javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Famous Chollima, группа сложных целенаправленных атак, проводит атаки социальной инженерии на лиц, ищущих работу в США, внедряя бэкдор InvisibleFerret с помощью вредоносных пакетов NPM с GitHub. Эта вредоносная программа на базе Python создает инфраструктуру C2 для удаленного доступа и эксфильтрации данных, используя методы кодирования целевой аудитории.
-----

Имитация атаки, проведенная группой сложных целенаправленных атак, известной как Famous Chollima, нацелена на лиц, ищущих работу в Соединенных Штатах, используя метод социальной инженерии, основанный на фиктивном собеседовании при приеме на работу, для развертывания вредоносного ПО. Эта серия атак, которая началась примерно в декабре 2022 года, включает в себя убеждение жертв загрузить пакет на основе NPM с GitHub под предлогом просмотра или анализа полезного программного обеспечения. Однако этот пакет содержит вредоносный JavaScript-код, предназначенный для заражения системы жертвы вредоносным ПО с бэкдором.

Вредоносная кампания использует несколько изощренных приемов. Во-первых, она использует социальную инженерию для привлечения разработчиков программного обеспечения, создавая правдоподобный сценарий во время технического собеседования, которое часто включает в себя совместное использование экранов для демонстрации навыков программирования. Этот метод использует естественное поведение ИТ-специалистов, которые часто ищут внештатную работу, что делает его менее подозрительной точкой входа для злоумышленников.

Конкретная используемая вредоносная программа, называемая InvisibleFerret, представляет собой бэкдор на основе Python, способный работать в нескольких операционных системах, включая Windows, Linux и macOS. После выполнения бэкдор настраивает инфраструктуру управления (C2) путем установления TCP-соединения, которое использует шифрование XOR для обмена данными. Сервер C2 выдает команды в формате JSON, который включает в себя ключ XOR, используемый для дальнейшего обмена данными.

Чтобы облегчить установку бэкдора, злоумышленники запутывают полезную нагрузку JavaScript в пакете NPM, используя инструменты, разработанные для этой цели. Выбор Python для сценария бэкдора является стратегическим; это широко используемый язык программирования среди целевой аудитории, что означает, что у многих потенциальных жертв уже будут установлены необходимые зависимости. Простота и краткость скриптов Python также помогают в методах уклонения, поскольку эти скрипты можно модифицировать, чтобы скрыть их истинные намерения, не вызывая немедленных подозрений.

Примечательно, что злоумышленники допустили критическую ошибку, не сумев отключить комментарии в некоторых своих репозиториях на GitHub. Этот недосмотр позволил пользователям и исследователям безопасности идентифицировать вредоносный характер пакетов и предупреждать о нем. Несмотря на это, злоумышленники продолжали разрабатывать и успешно использовать ссылки для фишинга, имитирующие законные страницы входа в систему Microsoft, используя модуль BEAR-C2 для улучшения своей инфраструктуры.

В конечном счете, кульминацией операций является успешное создание канала удаленного доступа после выполнения запутанной полезной нагрузки, что облегчает злоумышленникам возможность удаленного управления, эксфильтрации данных и продолжающихся операций без обнаружения.

#ParsedReport #CompletenessLow
05-08-2025

Smart Contract Scams \| Ethereum Drainers Pose as Trading Bots to Steal Crypto

https://www.sentinelone.com/labs/smart-contract-scams-ethereum-drainers-pose-as-trading-bots-to-steal-crypto/

Report completeness: Low

Victims:
Cryptocurrency users, Crypto traders

Industry:
Financial, Media, Petroleum

ChatGPT TTPs:
do not use without manual check
T1027, T1071.003, T1140, T1192, T1566.002, T1583.001, T1585.001, T1588.002, T1589.002, T1608.001, have more...

IOCs:
Coin: 28
Hash: 6
Url: 4

Soft:
Telegram

Crypto:
ethereum, uniswap

Algorithms:
sha1, xor

Functions:
getDexRouter, Start, StartNative

Languages:
solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют вредоносные смарт-контракты, замаскированные под торговых ботов, чтобы выманить у пользователей более 900 000 долларов с помощью видеороликов YouTube, рекламирующих эти мошеннические действия. Контракты, написанные в Solidity, используют методы запутывания, чтобы скрыть адреса кошельков, и требуют от жертв пополнять их с помощью Ethereum, одновременно повышая доверие к мошенническим отзывам.
-----

SentinelLabs сообщила о серии мошенничеств с криптовалютами, в ходе которых злоумышленники распространяют вредоносные смарт-контракты, маскируясь под торговых ботов. Эти мошенники в совокупности вывели из кошельков пользователей более 900 000 долларов. Смарт-контракты используют различные методы запутывания, чтобы скрыть адреса криптовалютных кошельков злоумышленников. Основной метод распространения включает в себя старые аккаунты YouTube, которые продвигают мошенничество с помощью кажущегося заслуживающим доверия контента о торговле криптовалютами, повышая доверие и вовлеченность пользователей.

Вредоносные кампании содержат видеоролики на YouTube, в которых описывается работа поддельных торговых ботов и содержатся инструкции по развертыванию смарт-контрактов с использованием компилятора Remix Solidity, широко используемой платформы разработки блокчейнов. В этих видеороликах часто содержатся ссылки на внешние сайты, на которых размещен мошеннический код смарт-контракта, причем случаи мошенничества продолжаются, по крайней мере, с начала 2024 года. Участвующие в них аккаунты, как правило, вызывают доверие, поскольку они делятся общими новостями о криптовалютах и учебными пособиями, а также комментируют ничего не подозревающие комментарии, что исключает негативные отзывы. В некоторых видеороликах используется контент, созданный с помощью искусственного интеллекта, чтобы упростить производственный процесс, демонстрируя роботизированные интонации голоса и неуклюжие визуальные представления, которые указывают на нечеловеческое творчество.

Защищенные смарт-контракты написаны в Solidity и используют различные механизмы обфускации для сокрытия адресов кошельков, контролируемых злоумышленником. В ходе анализа были выявлены такие методы, как операции XOR для вычисления адреса исходящего кошелька, конкатенация строк и масштабное преобразование десятичной системы счисления в шестнадцатеричную, причем каждая стратегия направлена на то, чтобы скрыть истинную цель вредоносного кода. Несмотря на различные варианты, атаки часто сохраняют схожие характеристики, например, требуют от жертв пополнения смарт-контракта с помощью Ethereum, якобы для использования торговых возможностей. Мошенники повышают доверие к себе с помощью мошеннических отзывов в комментариях к своим видеороликам, которые часто искажают позитивный настрой, несмотря на то, что многие жертвы несут убытки.

Среди выявленных мошенничеств наиболее прибыльной стала кража 244,9 ETH (902 000 долларов) с помощью видео, опубликованного пользователем Jazz_Braze. Этот успех иллюстрирует тревожную тенденцию, при которой злоумышленники со скромными ресурсами могут легко использовать кажущиеся заслуживающими доверия платформы Социальных сетей для распространения опасного контента, особенно с учетом доступности на рынке устаревших аккаунтов YouTube.

#ParsedReport #CompletenessHigh
05-08-2025

Rapid Breach: Social Engineering to Remote Access in 300 Seconds

https://www.nccgroup.com/research-blog/rapid-breach-social-engineering-to-remote-access-in-300-seconds/

Report completeness: High

Threats:
Microsoft_quick_assist_tool
Netsupportmanager_rat
Bitsadmin_tool

Industry:
Education

TTPs:
Tactics: 5
Technics: 6

IOCs:
File: 7
Url: 9
Path: 6
Registry: 3
Domain: 1
IP: 1
Hash: 2

Soft:
curl

Algorithms:
xor, sha1, zip

Win API:
GetHostName

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент был связан с атакой социальной инженерии, в ходе которой злоумышленник выдавал себя за службу ИТ-поддержки, чтобы получить удаленный доступ к системам. Они использовали PowerShell (T1059.001) для развертывания вредоносного ПО, включая NetSupport Manager для обеспечения сохраняемости, и установили связь C2. Кроме того, вредоносная библиотека DLL была загружена во время выполнения законного обновления, демонстрируя методы запутывания, такие как шифрование XOR.
-----

Недавний инцидент, связанный с атакой социальной инженерии, свидетельствует о быстром выполнении вредоносных действий с помощью PowerShell, что приводит к компрометации системы и credential harvesting. Злоумышленник нацелился примерно на двадцать пользователей, выдав себя за сотрудников ИТ-службы поддержки, успешно убедив двух человек предоставить удаленный доступ с помощью инструмента Windows QuickAssist. В течение пяти минут после установления этого доступа злоумышленник выполнил серию команд PowerShell, которые привели к загрузке и запуску вредоносного ПО, а также к созданию механизмов сохранения в скомпрометированных системах.

Получив удаленный доступ, злоумышленник использовал команду PowerShell, классифицированную как T1059.001 (интерпретатор команд и сценариев: PowerShell), для загрузки и выполнения сценария. Этот скрипт, после запуска, изменил каталог на местоположение %APPDATA%, определил критические переменные для загрузки и настроил безопасное соединение TLS 1.2. Он приступил к извлечению файла изображения, содержащего зашифрованную полезную нагрузку, которая после расшифровки и выполнения создала каталог по адресу C:\Users \{имя пользователя}\AppData\Roaming\NetHealth\. В этом каталоге размещалось программное обеспечение для удаленного управления NetSupport Manager, а также необходимые DLL-файлы, которые позволяли ему работать без стандартных процессов установки.

В случае, если поиск изображений завершался неудачей, был включен дополнительный резервный метод для загрузки файлов непосредственно с сервера с помощью Start-BitsTransfer. Впоследствии сценарий выполнил следующее NetHealth.exe двоичный файл и установил раздел реестра, чтобы гарантировать, что этот двоичный файл будет запускаться при входе пользователя в систему, таким образом поддерживая постоянство в сети. Злоумышленник также установил маяк управления (C2), который отправлял системную информацию обратно в инфраструктуру C2.

Более того, другой уровень вредоносной активности был инициирован загрузкой файла под названием update.zip с IP-адреса. Эта полезная нагрузка, когда она была извлечена, содержала двоичный файл Notepad++ updater, GenUp.exe , вместе с вредоносной библиотекой DLL с именем libcurl.dll . Эта библиотека DLL была идентифицирована как троянец, способный устанавливать связь C2. Злоумышленник воспользовался запуском законного средства обновления для дополнительной загрузки вредоносной библиотеки DLL, запустив ее под случайно сгенерированным именем файла в каталоге с аналогичными сгенерированными именами.

Операция, примененная злоумышленником, эффективно продемонстрировала использование типичных методов обфускации, таких как XOR-шифры для шифрования полезной нагрузки. Эти действия подчеркивают критическую важность обучения осведомленности пользователей и надежной системы реагирования на инциденты для упреждающей защиты от таких атак, основанных на социальной инженерии, и их последующего технического исполнения.